C. UN EFFORT DE PRÉVENTION À RENFORCER
Les rapporteurs ont été sensibilisés tout au long de leurs investigations à la question de la prévention, sur laquelle ils souhaitent procéder à quelques rappels indispensables.
1. Investir dans la cybersécurité
Les entreprises comme les administrations doivent veiller à ce que leurs systèmes d'information soient régulièrement mis à jour sur le plan de la sécurité. Elles peuvent bénéficier à cet effet des services de l'ANSSI qui joue un rôle important pour définir des normes techniques, ou de ceux de prestataires privés.
a) L'ANSSI, un acteur majeur de la cybersécurité
Créée en 2009, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) est rattachée au Secrétariat général de la défense et de la sécurité nationale. Elle est l'autorité nationale compétente en matière de sécurité des systèmes d'information.
Forte d'environ 600 agents et disposant d'un budget de près de 100 millions d'euros, elle contribue en premier lieu à la conception et à la coordination de la politique nationale en matière de sécurité informatique.
Elle joue ensuite un rôle important dans la prévention des attaques informatiques en aidant les ministères, les industriels et les opérateurs d'importance vitale à construire des réseaux informatiques solides . Elle procède à des audits , définit des référentiels techniques et promeut une offre nationale en matière de produits et de services de sécurité informatique en certifiant des prestataires privés . Elle assure des missions de formation des personnels qualifiés dans la sécurité des systèmes informatiques, en priorité en direction des administrations de l'État et des opérateurs d'importance vitale.
Elle joue aussi un rôle de détection et d'alerte quand une cyberattaque se produit. En son sein, le centre opérationnel de la sécurité des systèmes d'information (COSSI) travaille à l'analyse de la menace, à l'identification des vulnérabilités des systèmes et outils actuels, à la recherche des attaques en cours et à la définition des réponses à y apporter.
Elle remplit enfin une mission de remédiation en intervenant dans les grandes entités publiques ou privées victimes d'une attaque afin de les aider à appliquer des mesures correctrices urgentes et à rétablir leur système informatique.
L'ANSSI n'est pas un service d'enquête, mais elle peut échanger avec le parquet lorsque la justice est saisie d'une cyberattaque sur laquelle l'agence a travaillé. Elle n'est pas non plus un service de renseignement et ne procède ni à des attaques informatiques ni à des contre-attaques. Ce positionnement lui a permis de créer un climat de confiance avec l'ensemble des acteurs, propice à l'exercice de sa mission de sécurité informatique.
L'agence paraît disposer de moyens adaptés pour exercer convenablement sa mission, le principal frein à son développement résidant dans la difficulté de recruter les compétences pointues dont elle a besoin.
b) Les prestataires privés de cybersécurité
L'ANSSI intervient auprès d'acteurs de premier plan, mais ne peut répondre aux demandes de toutes les entités publiques et privées qui expriment des besoins en matière de cybersécurité.
Entendu par les rapporteurs, le chief technology officer de la société FireEye, David Grout, a évalué les dépenses de cybersécurité dans le monde à un montant compris entre 100 et 150 milliards de dollars.
Pour aider les clients à identifier plus facilement les prestataires les plus fiables en ce domaine, l'ANSSI délivre des visas de sécurité à l'issue d'une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse. Avoir recours à l'une de ces solutions agréées participe à l'élévation du niveau de sécurité global des administrations, des entreprises et des citoyens face au risque numérique. En s'engageant dans une démarche d'obtention du visa de sécurité, le fournisseur de produit ou le prestataire de services concerné se donne les moyens de disposer d'une réelle valeur ajoutée concurrentielle, gage de compétitivité pour son entreprise et de sécurité pour ses clients.
Les acteurs du marché de la cybersécurité doivent s'adapter en permanence à l'évolution des techniques utilisées par les cybercriminels. Ils semblent qu'ils gagnent en efficacité puisque, comme l'a expliqué David Grout, le temps pendant lequel les attaquants sont présents dans un système avant que la victime ne s'en aperçoive ( dwell time ) tend à diminuer depuis cinq ans, ce qui témoigne d'une performance croissante.
Outre l'aspect technique de la sécurisation des réseaux et des équipements, il convient de souligner l'importance de la sensibilisation des chefs d'entreprise et des salariés à l'enjeu de la cybersécurité. La plupart du temps, c'est une imprudence humaine - ouvrir un spam ou cliquer sur un lien frauduleux - qui conduit à l'infiltration du réseau informatique.
La sous-direction en charge de la lutte contre la cybercriminalité de la DCPJ mène un travail de sensibilisation auprès des chefs d'entreprise : 1 200 ont été touchés au cours de la seule année 2019. Des initiatives notables ont également été prises au plan local au sein de la gendarmerie : la section opérationnelle de lutte contre les cybermenaces des Alpes-de-Haute-Provence a par exemple mis en place un partenariat avec les entreprises du département afin de les aider à renforcer leur sécurité numérique, diffuser des recommandations et rappeler les bonnes pratiques. Le GIP Acyma conduit lui aussi des actions de sensibilisation en participant à des salons professionnels et en éditant des kits d'information aux risques liés au numérique ; en 2019, 37 760 kits complets de sensibilisation ont été téléchargés.
Dans le secteur public, les rapporteurs souhaitent appeler l'attention sur les investissements à réaliser dans les établissements hospitaliers , rendus plus vulnérables par la multiplication des objets connectés, ainsi que dans les universités qui constituent une cible de choix pour le cyber-espionnage, notamment de la part de la Chine.
2. La sensibilisation du grand public
Au-delà des entreprises et des administrations, le grand public mérite également d'être davantage sensibilisé à la cybercriminalité puisqu'elle cible aussi les particuliers.
Le GIP Acyma diffuse de l'information via son site www.cybermalveillance.gouv.fr, d'abord en direction du grand public. S'il a gagné en notoriété ces dernières années, son action pourrait être relayée par des campagnes d'information régulières dans les grands médias généralistes, sur la modèle de la campagne que le GIP a conçue en 2019 avec l'Institut national de la consommation (INC), diffusée sur France Télévision et sur des chaînes de la TNT.
Compte tenu de la vulnérabilité des mineurs, l'éducation nationale devrait également sensibiliser les élèves à la sécurité numérique . L'ANSSI a commencé à travailler avec le ministère en vue de développer des modules destinés aux élèves de seconde. Cette formation ne devrait pas se limiter aux aspects techniques, mais englober la prévention des infractions sexuelles et la question du respect de la vie privée.
Cette sensibilisation à l'école serait peut-être un moyen d' attirer un plus grand nombre de jeunes vers les formations de l'informatique et du numérique , qui demeurent trop peu souvent choisies alors qu'elles offrent d'excellents débouchés. Dans ce domaine, l'État d'Israël pourrait servir de modèle : les formations informatiques y sont valorisées, les capacités en informatique de tous les élèves sont évaluées à l'âge de quatorze ans et un enseignement en informatique y est dispensé de l'école primaire au lycée, avec la possibilité de suivre un cursus spécialisé en cyber-intelligence.
Cette attention à la formation n'est pas sans lien avec les succès économiques israéliens dans le domaine des hautes technologies. La France et l'Europe ne peuvent négliger cette dimension éducative si elles souhaitent rebâtir à terme leur souveraineté numérique.