B. RENFORCER LE PARTENARIAT AVEC L'ENSEMBLE DES ACTEURS
La coopération avec le secteur privé est encore insuffisamment développée en France alors qu'elle constitue une dimension essentielle , comme en témoigne la place éminente accordée à ce volet dans les stratégies cyber mises en place aux Etats-Unis, au Royaume-Uni ou en Allemagne.
Pour votre rapporteur, il importe d'accentuer nos efforts dans trois directions : le développement du partenariat avec le secteur économique , le renforcement des relations avec les opérateurs d'importance vitale , et, enfin, en matière de formation, de recherche, de sensibilisation et de communication.
1. Développer le partenariat avec le secteur économique
La sensibilisation des entreprises , et singulièrement de leurs dirigeants, aux enjeux liés à la sécurité des systèmes d'information mériterait tout d'abord d'être fortement renforcée.
Assurer la sécurité des systèmes d'information des entreprises n'est pas seulement un enjeu technique. C'est aussi un double enjeu économique et stratégique, puisqu'il s'agit de protéger l'ensemble des maillons de la chaîne de valeur des entreprises, notre savoir-faire technologique comme nos parts de marché, dans la véritable guerre économique que nous connaissons aujourd'hui, voire un enjeu politique, lorsque les intérêts de la Nation sont en jeu.
Or, avec l'espionnage informatique, notre pays, comme d'autres pays, est aujourd'hui menacé par un « pillage » systématique de son patrimoine diplomatique, culturel, scientifique et économique. Ainsi, les efforts consentis par les entreprises françaises pour augmenter leur compétitivité via des investissements importants en matière de système d'information se révèlent, en cas d'espionnage, servir leurs concurrents. C'est l'un des aspects masqués d'une mondialisation déloyale qu'il faut rendre plus visible.
Et ce danger ne peut que s'accentuer avec le développement dans les entreprises de pratiques comme le « BYOD » (« Bring Your Own Device ») , le « cloud computing » (« informatique en nuage ») 55 ( * ) ou encore l'utilisation des réseaux sociaux, qui présentent des risques majeurs du point de vue de la sécurité des systèmes d'information.
La protection des systèmes d'information devrait être une véritable priorité en matière de management des entreprises . Les dirigeants des entreprises, les membres du conseil d'administration devraient être davantage sensibilisés. Cet aspect mériterait d'être pris en compte dans le bilan annuel, le rapport de gestion et dans les discussions au sein du conseil d'administration 56 ( * ) .
Le niveau hiérarchique, les responsabilités et le rôle des responsables de la sécurité informatique devraient également être rehaussés au sein des entreprises.
Faut-il aller plus loin et recourir à la loi pour poser un certain nombre de règles ou de principes ?
Faut-il ainsi prévoir une déclaration obligatoire ou systématique à l'ANSSI en cas d'attaque importante contre les systèmes d'information des entreprises, en s'inspirant des mesures mises en place ou à l'étude chez certains de nos partenaires ? Est-il réellement utile de rendre publiques ces attaques, à l'image de ce qui existe aux Etats-Unis ? Cette obligation doit-elle être assortie de sanctions et de quelle nature ? Et, comment mettre en place une procédure permettant de contrôler le respect de cette prescription ? Ne serait-il pas plus opportun d'inciter les entreprises à faire une telle déclaration au moyen de mesures incitatives ?
Votre rapporteur, réservé à l'égard de l'« inflation législative » et soucieux de ne pas alourdir les charges administratives qui pèsent sur les entreprises, a beaucoup hésité sur cette question.
En définitive, après avoir beaucoup consulté, votre rapporteur a acquis la conviction qu'une telle obligation de notification serait de nature à renforcer la sensibilisation des entreprises à la menace et qu'elle permettrait à l'Etat d'être réellement informé de ces attaques.
Naturellement, une telle déclaration ne peut se concevoir que dans le cadre d'une stricte confidentialité de la part des services de l'Etat, compte-tenu des craintes légitimes des entreprises pour leur image, mais aussi des conséquences économiques potentielles d'une éventuelle révélation publique.
Votre rapporteur est donc convaincu de l'intérêt de prévoir une déclaration obligatoire (et confidentielle) des entreprises en cas d'attaque importante sur leurs systèmes d'information.
Dans le même temps, votre rapporteur considère qu'une telle obligation ne devrait pas nécessairement s'accompagner de sanctions mais plutôt de mesures incitatives afin d'inciter les entreprises à renforcer la protection de leurs systèmes d'information.
Dans certains pays, comme les Etats-Unis, des modifications ont été introduites dans la législation pour inciter les entreprises à renforcer la protection de leurs systèmes d'information, au moyen d' une limitation de responsabilité pour les entreprises dont le respect des bonnes pratiques est confirmé par des audits réguliers ou encore d' une préférence dans le cadre des marchés publics pour les entreprises qui souscrivent aux recommandations de l'administration concernant la protection de leurs systèmes d'information.
Pour votre rapporteur, il semblerait utile d'engager en France une réflexion avec les compagnies d'assurance sur la prise en charge des opérations de traitement d'une cyberattaque. La compagnie d'assurance pourrait s'engager à compenser en tout ou partie les pertes financières résultant du traitement d'une attaque informatique à condition que l'entreprise concernée ait mis en place des mesures dans ce domaine (moyennant un certain niveau de sécurité initial, l'utilisation d'équipements labellisés, l'existence d'une politique en matière de sécurité des systèmes d'information ou encore un audit annuel par exemple).
Pourquoi ne pas imaginer aussi un système de notation , à l'image de ce qui existe en matière financière ou de respect de l'environnement ? L'inconvénient d'un tel système résiderait toutefois dans le fait qu'il pourrait donner lieu à une sorte d'« appel au défi » lancé aux pirates informatiques désireux de prouver qu'ils sont en mesure de contourner les mesures de protection jugées les plus robustes.
D'une manière plus générale, les entreprises les plus concernées par la sécurité des systèmes d'information (opérateurs d'importance vitale, entreprises intervenant dans des domaines sensibles) attendent, votre rapporteur l'a constaté lors de ses auditions, des échanges d'informations beaucoup plus fournis et des contacts beaucoup plus fréquents avec les services de l'Etat .
L'ANSSI devrait ainsi être en mesure de répondre aux demandes des entreprises, en matière d'expertise, de conseils, d'assistance et d'offre de produits labellisés .
Le partenariat avec le secteur privé doit également contribuer au soutien à la base industrielle et technologique en matière de produits et de services de sécurité des systèmes d'information, notamment à l'égard des PME-PMI du secteur, et plus largement, dans le secteur des technologies de l'information et de la communication.
De même qu'il existe en France une base industrielle et technologique de défense (BITD), votre rapporteur considère qu'il devrait exister une base industrielle et technologique en matière cyber (BITC).
La France dispose d'atouts importants avec des grandes entreprises, à l'image de Cassidian, la division défense et sécurité du groupe EADS, de THALES, de BULL, de SOGETI ou d'ALCATEL-LUCENT, spécialisées et renommées pour leur expertise dans le domaine de la sécurité des systèmes d'information.
On trouve également en France un tissu de PME-PMI innovantes, à l'image de Netasq et d'Arkoon en matière de logiciels et produits de sécurité ou de Sysdream, d'Atheos et de DevoTeam en matière de services.
Notre pays dispose ainsi de véritables « trésors nationaux » dans certains domaines clés pour la défense et la sécurité des systèmes d'information, comme la cryptologie ou les cartes à puces.
Si le marché mondial est aujourd'hui dominé par des sociétés américaines et israéliennes, et, demain, par des sociétés chinoises, russes et indiennes, la France pourrait, si elle en a la volonté, développer une industrie complète et souveraine dans le domaine de la sécurité des systèmes d'information, à la fois dans les secteurs des matériels, des logiciels et des services.
Aux yeux de votre rapporteur, il est crucial pour notre pays de conserver une autonomie stratégique dans un domaine qui joue un rôle de plus en plus important dans les domaines de la défense et de la sécurité. Afin de garantir la souveraineté des opérations stratégiques ou vitales, il est indispensable de s'assurer de la maîtrise de certaines technologies fondamentales, dans des domaines comme la cryptologie, l'architecture matérielle ou logicielle des équipements de sécurité ou encore les systèmes d'exploitation. On ne doit pas négliger non plus les enjeux économiques et en matière d'emplois dans un secteur en forte croissance et qui participe à la compétitivité d'un pays.
Toutefois, le secteur des fournisseurs français de solutions en sécurité des systèmes d'information souffre aujourd'hui de plusieurs lacunes :
- une trop grande fragmentation , qui entraîne souvent une concurrence destructrice entre les entreprises françaises et entrave le développement des PME et l'émergence d'entreprises de taille intermédiaire ;
- une difficulté d'accès à la commande publique pour les PME-PMI ;
- un problème majeur d'accès au financement pour les PME, qui ne peuvent recourir à l'emprunt bancaire ;
- un positionnement trop « franco-français » pour assurer le développement de groupes solides, exporter et gagner des parts de marché à l'étranger ou nouer des partenariats à l'échelle européenne ou mondiale.
L 'Etat devrait donc soutenir, par une politique industrielle volontariste, le tissu industriel des entreprises françaises, notamment des PME, proposant des produits ou des services importants pour la sécurité informatique.
L'Etat devrait ainsi encourager une consolidation structurelle et capitalistique du secteur , en impliquant les PME avec des positionnements complémentaires et une volonté partagée, les financeurs publics (comme la caisse des dépôts et consignations ou encore la banque publique des PME) et privés (fonds d'investissements), ainsi que la puissance publique. L'objectif serait de favoriser l'émergence de « champions nationaux » ou européens.
Il paraît également souhaitable de privilégier, dans le cadre de la commande publique, les solutions et sociétés françaises, via les certifications et évaluations de sécurité réalisées par l'ANSSI.
Ne pourrait-on pas envisager également que les PME se regroupent ou s'associent, éventuellement autour de grands groupes, pour mutualiser leurs solutions en produits sécurisés ?
L'allégement de la procédure de certification, la réduction des coûts et le raccourcissement des délais constituent également de fortes attentes des entreprises du secteur.
Les entreprises attendent aussi de l'Etat un renforcement du soutien à la promotion et à l'export concernant les produits de sécurité informatique.
L'Etat devrait encourager le regroupement des entreprises à l'export, notamment entre les grandes entreprises et les PME, dans le cadre d'une « chasse en meute » ou d'un partenariat plus intégré, et leur apporter un soutien, par exemple en leur fournissant des informations sur les marchés d'export, les entreprises étrangères concurrentes ou les partenaires potentiels, en les accompagnant dans leurs démarches et dans la promotion de leurs offres à l'étranger, etc.
De même qu'il existe des « salons de l'armement », à l'image du salon du Bourget ou d'Eurosatory, pourquoi ne pas imaginer de créer en France un salon spécialisé sur la cybersécurité, afin de donner plus de visibilité aux entreprises françaises de ce secteur ?
Le financement public de la recherche-développement en matière de sécurité des systèmes d'information doit aussi être accentué et cette recherche partagée entre les différents acteurs publics.
Le fonds interministériel de soutien à l'innovation que le plan de renforcement de la sécurité des systèmes d'information avait préconisé n'a pas été mis en place et les différentes sources de financement restent dispersées.
Il existe certes des instruments importants comme le crédit-impôt recherche, le dispositif d'avance remboursable d'OSEO ou encore le label « jeune entreprise innovante ». Mais les entreprises, et en particulier les PME qui souhaitent développer leur activité, rencontrent encore de fortes difficultés en matière d'accès au financement.
Ainsi, dans le cadre du crédit-impôt recherche, la tendance en France est de considérer que seules les dépenses liées à la recherche et développement sont éligibles, alors que les dépenses de marketing et de développement commercial, notamment à l'international, sont souvent négligées, alors même qu'elles déterminent en grande partie la réussite du projet. Le financement de l'amorçage, à l'image du « Business Angels » aux Etats-Unis, n'existe quasiment pas en France, et le capital-risque est quasiment inexistant dans ce secteur.
Ce dispositif doit donc être clarifié , en vue notamment d'en faciliter l'accès par les PME-PMI innovantes dans le domaine de la sécurité des systèmes d'information.
Afin de clarifier ce dispositif on pourrait imaginer la création d' un fonds public spécialisé dans la sécurité et la confiance numérique , dans le cadre du Fonds national pour la société numérique (FSN), et qui serait notamment chargé de l'amorçage et du capital risque.
D'une manière générale, les échanges d'information entre l'ANSSI et les entreprises françaises du secteur de la sécurité des systèmes d'information mériteraient d'être sensiblement renforcés.
En s'inspirant du programme lancé par le département de la défense aux Etats-Unis, on pourrait mettre en place entre l'ANSSI et les entreprises du secteur de la sécurité des systèmes d'information, une sorte de « club », un réseau des prestataires de confiance , afin de développer les échanges entre le secteur public et le secteur privé.
Un tel réseau pourrait notamment jouer un rôle utile en matière de ressources humaines, pour encourager la formation et la mobilité des ingénieurs spécialisés dans la protection des systèmes d'information, ou encore pour échanger des informations sur les vulnérabilités de certains produits et les moyens de s'en protéger. Il pourrait également être activé en cas de détection de cyberattaque ciblée, pour aider les entreprises à mettre en place les contre-mesures nécessaires.
* 55 Voir le glossaire qui figure en annexe
* 56 On peut à cet égard mentionner l'obligation pour les entreprises américaines de publier les incidents et les risques majeurs dans les bilans boursiers trimestriels