D. UNE PRISE DE CONSCIENCE INÉGALE DE LA CYBERMENACE
1. Un déni jusqu'en 2018 malgré les mises en garde
En 2018 encore, les entreprises françaises étaient dans le déni quant à l'importance et à l'impact du phénomène, constatait CCI France 54 ( * ) . Une enquête 55 ( * ) conduite auprès des dirigeants d'entreprises constatait que le thème de la cybersécurité « ne semble pas être à l'ordre du jour des inquiétudes des dirigeants » : 24 % d'entre eux déclarent que les risques liés à la cybersécurité de leur entreprise les préoccupent, soit un chiffre en recul de 16 points par rapport à octobre 2017, et 76 % se disent peu ou pas préoccupés.
Néanmoins, les dirigeants de PME (entreprises de 10 salariés ou plus) étaient nettement plus conscients (62 % déclarant être préoccupés), que les dirigeants de TPE (0 à 9 salariés) se déclarant à 79 % peu ou pas préoccupés. La taille de l'entreprise joue donc un rôle considérable sur la perception du risque cyber par son dirigeant.
Seuls ces derniers ont été interrogés dans cette enquête. Ils ne se préoccupent du sujet qu'une fois l'entreprise victime ou qu'un incident leur a été remonté, ou estiment encore que « la cybersécurité relève de la problématique technique et donc du ressort du DSI ou du RSSI (quand il y en a un) davantage que de la gouvernance de l'entreprise ».
La forme de la cybercriminalité était également mal perçue : si les dirigeants identifiaient assez bien les menaces issues de malveillances, celles issues de la négligence des employés étaient totalement mésestimées.
La cybersécurité était, il y trois ans, loin d'être considérée comme « l'affaire de tous » et pour CCI France : « les résultats de cette consultation ne prêtent pas forcément à l'optimisme. Ils montrent seulement qu'il reste beaucoup à faire en matière de pédagogie et de prévention en cybersécurité, et qu'une solution technologique n'apportera jamais de réponse parfaite à une problématique qui reste avant tout humaine ».
Pourtant, les parties prenantes du sujet de la cybersécurité (ANSSI, AMRAE 56 ( * ) , fédérations professionnelles, prestataires de services informatiques et conseils spécialisés en risque cyber...) ont multiplié les signaux d'alerte en direction des entreprises.
DE MULTIPLES « WARNING » DE LA CYBERSÉCURITÉ EN 2017-2020 : « La gestion du risque numérique en entreprise », AMRAE, février 2014 mise à jour janvier 2018 ; « Guide d'hygiène informatique », publié en 2017, par l'ANSSI, proposant 42 mesures et ayant pour objectif d'accompagner les responsables de la sécurité des systèmes d'information ; Lancement de la plate-forme « cybermalveillance.gouv.fr » le 30 mars 2017 par le groupement d'intérêt public ACYMA permettant d'apporter une assistance aux victimes de cyber-malveillance, et de sensibiliser le public aux enjeux de la sécurité et de la protection de la vie privée ; MOOC « SECNUMACADEMIE », plate-forme de formation à la sécurité numérique de l'ANSSI, ouverte à tous et gratuite ; Guide de sensibilisation de la FFA à destination des TPE/PME, « Anticiper et minimiser l'impact d'un cyberrisque sur votre entreprise : TPE, PME, vous êtes concernées ! », publié en mai 2017 ; « Le guide de la cybersécurité pour les experts-comptables » mis en ligne en septembre 2018 par le Conseil supérieur de l'ordre des experts-comptables ; « Pérenniser l'entreprise face au risque cyber », étude coproduite par la CCI Paris-Île-de-France et CCI France, septembre 2020 ; Guide de cybersécurité à destination des dirigeants de TPE, PME et ETI de « bonnes pratiques et réflexes à adopter en cas de cyberattaques », rédigé par Bpifrance et Cybermalveillance.gouv.fr, mai 2021 |
2. Une prise de conscience en 2020
Avec les cyberattaques qui ont visé en 2020 et début 2021 des hôpitaux ou des centres de production de vaccins pendant la pandémie de la Covid-19, la cybersécurité est devenue un sujet grand public.
« La prise de conscience du risque cyber commence à faire son chemin chez les dirigeants de TPE, PME et ETI » ont constaté Bpifrance et Cybermalveillance.gouv.fr dans leur guide de mai 2021.
Les dirigeants d'entreprises intègrent désormais ce risque de façon croissante.
Selon le dernier panorama mondial des entreprises d'un assureur 57 ( * ) , la part moyenne du budget informatique allouée à la cybersécurité a progressé de 63 % de 2020 à 2021 et les dépenses moyennes de cybersécurité ont plus que doublé en deux ans , passant de 1,31 millions (2019) à 1,84 millions (2020) puis 2,95 millions (2021).
Dans une étude 58 ( * ) sur la cybersécurité des « grosses » PME, de 250 à 500 salariés, en mai 2020, CISCO 59 ( * ) a souligné qu'elles étaient presque aussi nombreuses à révéler des violations de données que les grandes entreprises (59 % contre 62 %) et a estimé qu'elles avaient renforcé leur sécurité puisque si 40 % des PME avaient subi « une interruption de plus de huit heures suite à leur faille de sécurité la plus importante » en 2018, elles n'étaient plus que 24 % en 2020. Elles sont 94 % à actualiser régulièrement ou constamment les infrastructures de cybersécurité, 72 % à effectuer des chasses aux menaces 60 ( * ) , et elles testent régulièrement leur plan de réponse aux incidents 61 ( * ) . Elles forment et sensibilisent massivement (à hauteur de 84 %) leurs salariés, et ce de manière obligatoire.
Cependant, d'autres études 62 ( * ) relativisent cette prise de conscience . La cybersécurité resterait un sujet exclusivement technique et n'intéresserait les dirigeants que lorsqu'il est trop tard .
Si 82 % des dirigeants métiers ou IT en entreprise estiment que les cyber-menaces se sont aggravées au cours des deux dernières années, la cybersécurité reste un sujet exclusivement (21 % des répondants) ou principalement (41 %) du ressort de la DSI. Si 85 % des répondants estiment que les conseils d'administration se préoccupent davantage de cybersécurité qu'il y a deux ans, c'est uniquement lorsqu'il y a un important incident (comme une grosse fuite de données). 11 % voient encore la cybersécurité comme une question de conformité réglementaire ! Seuls 15 % des dirigeants admettent qu'il existe un impact technique et économique du sujet et 4 % comme un sujet essentiellement économique.
Seulement 44 % des répondants ont constaté un intérêt du conseil d'administration pour les exercices de cybersécurité. Toutefois, les cadres dirigeants s'intéressent davantage à la cybersécurité : très fortement pour 58 % des répondants, de façon appropriée pour 31 %. De même, les décisions stratégiques tiennent fortement (57 %) ou réellement (34 %) compte de la cybersécurité.
Il est avéré en tout état de cause que la cybersécurité varie de façon décroissante selon la taille de l'entreprise, pour des raisons de coûts, de temps et de ressources humaines.
« Pour autant, peu d'actions concrètes sont mises en oeuvre pour prévenir le risque cyber au sein de leur entreprise », constate, en mai 2021, Bpifrance et Cybermalveillance.gouv.fr, qui pointent trois causes :
- « une connaissance superficielle du risque cyber qui les conduit souvent à mésestimer les enjeux et à déléguer à leur équipe informatique considérant qu'il ne s'agit que d'un problème technique ». Quand ils en ont conscience, les dirigeants ont tendance à se focaliser sur la menace externe émanant de groupes de cybercriminels motivés par l'argent, alors que les menaces externes issues de l'environnement de l'entreprise (fournisseurs, clients, partenaires) et internes (employés, consultants, etc.) sont nettement sous-estimées ;
- « le manque de solutions clé-en-main et une offre cyber qui est orientée vers des grands groupes », les solutions disponibles sur le marché n'étant pas toujours bien adaptées aux dirigeants de PME et ETI qui ont du mal à se les approprier ;
- « le coût perçu d'un investissement en cybersécurité joue un rôle dissuasif » alors que la perte de valeur en cas d'attaque peut se révéler bien plus élevée.
3. Un enjeu majeur de la responsabilité de l'entreprise
a) La cybersécurité dans la notation financière
Les grandes agences de notation américaines intègrent le risque cyber dans leur notation financière . Dans un communiqué du 24 novembre 2015, Moody's prévenait que : « nous n'intégrons pas explicitement le risque de cyberattaques dans notre analyse de crédit en tant que principal moteur de notation. Mais dans tous les secteurs, notre analyse fondamentale du crédit comprend de nombreux scénarios de tests de résistance, et un cyber-événement, comme d'autres risques d'événements, pourrait être le déclencheur de ces scénarios de crise. La gravité et la durée d'un cyber-événement réussi seront essentielles pour déterminer tout impact de crédit » 63 ( * ) .
Cette position de Moody's intervenait après qu'une autre agence de notation, Standards & Poors, ait publié en septembre 2015 un rapport contenant un avertissement similaire pour le secteur bancaire : « S&P pourrait émettre une révision à la baisse si une banque semblait mal préparée à faire face à une cyberattaque ou à la suite d'une violation causant des dommages importants à la réputation d'une banque ou entraînant des pertes financières substantielles ou des dommages juridiques » 64 ( * ) .
Un marché de la cybernotation s'est développé, dominé par des agences américaines. La plus importante des agences de notation spécialisées qui se sont créées après 2015 est Bitsight, devant SecurityScoreCard. En France, la start-up Cyrating, incubée à ParisTech Entrepreneurs, créée en 2018, est la première agence européenne de notation.
La notation en matière de cybersécurité rencontre toutefois certaines limites et participe à l'affaiblissement de la souveraineté économique .
Conformité et sécurité ne vont pas nécessairement de pair. Une organisation peut être conforme sans pour autant atteindre un niveau de sécurité satisfaisant. Aborder la sécurité uniquement à travers le prisme de la conformité à des normes peut avoir pour objectif premier de se couvrir jurdiquement. La notation s'appuie presque intégralement sur des analyses de vulnérabilités, sans tenir compte du contexte spécifique de l'entreprise et de son exposition aux risques. L'approche par les risques, individualisée, couplant audit interne et externe, reste donc indispensable et permettra de combiner une analyse précise des vulnérabilités techniques mais aussi humaines et organisationnelles de l'organisation et une vision à 360° du contexte externe (menaces).
La notation peut être, dans certains cas, contre-productive pour l'entreprise : « mal comprise, une bonne note donne un faux sentiment de sécurité au COMEX n'aidant pas le directeur de la sécurité de l'information à obtenir le budget nécessaire au maintien de son SMSI (Système de Management de la Sécurité de l'Information). À l'inverse, une mauvaise note orientera les budgets vers un projet permettant de paraître plus sécurisé. L'effet pervers serait la priorisation de la protection des systèmes informatiques au détriment de la protection de l'information » 65 ( * ) .
Les évaluations effectuées par les algorithmes utilisés par ces agences peuvent également susciter la méfiance . Ces notations peuvent être perçues comme très intrusives par les entreprises qui, en règle générale, ne peuvent pas refuser d'être notées. Avoir la capacité d'influencer le classement des entreprises signifie potentiellement pouvoir influencer le choix d'un prestataire. « La domination du marché de la conformité par des agences américaines place celles-ci en position d'arbitre leur permettant de collecter et de traiter des données sensibles sur les entreprises non américaines » 66 ( * ) .
Or, comme le prédisait dès le 27 décembre 2017 la CCI des Hauts-de-France, « tôt ou tard, toutes les entreprises auront des notations sur leur sécurité informatique » 67 ( * ) .
b) La cybersécurité comme élément de responsabilité numérique des entreprises
Outre la notation financière, la notation ESG (environnement, société, gouvernance) comporte également une référence à la cybersécurité, qui constitue une dimension essentielle de la gouvernance de l'entreprise mais également de la responsabilité sociétale des entreprises sous l'angle de la protection contre le vol des données. Le cyberrisque était la principale préoccupation ESG des investisseurs institutionnels en 2019 68 ( * ) . Les entreprises qui s'adaptent constamment à l'évolution des cyberattaques et qui veillent à rendre compte de leurs efforts aux investisseurs se démarqueront dans un contexte où les investisseurs sont de plus en plus soucieux des questions de cybersécurité.
Alors que la cybersécurité est créatrice de valeur en ce qu'elle créée pour l'entreprise des externalités positives, celles-ci et « en particulier les TPE et les PME, ont encore du chemin à parcourir pour dépasser la conformité et la lier à leur engagement sociétal global » a ainsi constaté la Plateforme RSE 69 ( * ) dans son rapport de juillet 2020 proposant de créer une « responsabilité numérique de l'entreprise » (RNE), s'intégrant dans la responsabilité sociétale de l'entreprise (RSE). Les fonds d'investissement et les banques ont un alignement d'intérêt à ce que les entreprises qu'ils financent soient matures en termes de cybersécurité de manière à préserver les sommes investies.
La transformation numérique qui impacte, aujourd'hui, toutes les entreprises, demeure peu intégrée dans les enjeux de la RSE - et inversement - et les deux mondes s'ignorent encore. Pourtant, la protection des données devrait s'inscrive comme un critère supplémentaire de la politique RSE. La responsabilité numérique est un risque qui doit s'intégrer dans le référentiel RSE existant . La Plateforme RSE préconise, à cet effet, d'inclure « pour les entreprises concernées, dans leurs déclarations de performance extra-financière des indicateurs portant sur leurs politiques de protection des données ».
Aller au-delà semble prématuré. En effet, une notation publique, par exemple lors de l'annonce d'une levée de fonds, au moment où l'entreprise dispose de trésorerie, accroîtrait le risque d'une cyberattaque. Comme le souligne Bpifrance : « il serait dangereux pour une entreprise de publier un score de cybersécurité faible dans le cadre d'une DPEF 70 ( * ) car cela en ferait une cible de choix pour les cybercriminels » 71 ( * ) .
4. Un enjeu d'harmonisation européenne
L'inclusion de la cybersécurité dans la notation financière des entreprises nécessite une harmonisation de leur certification .
Pour assurer la sécurité de leurs informations sensibles, les entreprises peuvent s'appuyer sur la famille de normes ISO/IEC 27000. ISO/IEC 27001, norme la plus connue de cette catégorie qui n'en compte pas moins d'une douzaine, spécifie les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). Elle vient d'être récemment complétée, en février 2021, par la spécification technique ISO/IEC TS 27110, « Sécurité de l'information, cybersécurité et protection de la vie privée - Lignes directrices relatives à l'élaboration d'un cadre en matière de cybersécurité » , élaborée en collaboration avec la Commission électrotechnique internationale (IEC), pour « créer, ou perfectionner, un système de protection robuste contre les cyber-attaques ».
Ces référentiels privés permettent aux entreprises d'obtenir une certification publique de cybersécurité.
Le règlement européen du 17 avril 2019, intitulé « Cybersecurity Act » 72 ( * ) , marque une véritable avancée pour l'autonomie stratégique européenne avec la définition d'un cadre européen de certification de cybersécurité, essentiel pour renforcer la sécurité du marché unique numérique européen. En effet, à l'heure actuelle, la certification de cybersécurité relève strictement des autorités nationales qui peuvent exister ou non au sein des pays de l'Union, sans qu'aucun cadre européen n'établisse d'exigences minimales. En France, la certification de sécurité des produits dans ce domaine est réalisée sous l'autorité de l'ANSSI 73 ( * ) .
LA CERTIFICATION FRANÇAISE EN MATIÈRE DE CYBERSÉCURITÉ « Le schéma français offre deux types de certification, une certification de sécurité de premier niveau (CSPN) et une certification dite « critères communs » (CC). Tandis que la certification CC répond à un standard international doté de sept niveaux d'assurance de plus en plus élevés, la certification CSPN a été élaborée par l'ANSSI pour fournir une solution de certification répondant à un risque plus modéré, et mettant en jeu une évaluation moins exhaustive. Ces deux types de certification engagent notamment le type de laboratoire d'analyse technique, nommé Centre d'évaluation de la sécurité des technologies de l'information (CESTI), qui pourra mener l'évaluation. Pour une évaluation CC, le CESTI devra avoir été lui-même accrédité par le Comité français d'accréditation (le Cofrace) à l'aune de standards internationaux, et agréé par l'ANSSI. Pour une évaluation CSPN, le laboratoire devra simplement bénéficier d'un agrément de l'ANSSI. L'ANSSI exerce un contrôle continu sur les évaluations. Si ce contrôle est gratuit, les frais d'évaluation d'un produit par un CESTI sont à la charge du commanditaire de l'évaluation. Il convient de souligner que dans d'autres pays, comme en Allemagne, le contrôle par l'autorité nationale (en l'occurrence, le BSI) peut entraîner des frais ».
Source : rapport d'information de la commission des
affaires européennes
|
* 54 « Pérenniser l'entreprise face au risque cyber. De la cybersécurité à la cyberrésilience », CCI France, septembre 2020.
* 55 Grande consultation des entrepreneurs (enquête OpinionWay pour CCI France, La Tribune et Europe 1) effectuée, en partenariat avec cybermalveillance.gouv.fr, un focus sur la perception du risque cybersécurité dans les entreprises, en fonction de leur taille et de leur secteur d'activité.
* 56 Association pour le management des risques des assurances de l'entreprise.
* 57 Rapport Hiscox sur la gestion des cyber-risque, du 17 avril 2021 :
* 58 « Dix mythes non justifiés sur la cybersécurité des PME ».
* 59 Fondée en 1984, cette entreprise informatique américaine était spécialisée, à l'origine, dans le matériel réseau ( routeurs et commutateurs ethernet ), et depuis 2009 dans les serveurs . Elle a renforcé ses activités dans la sécurité informatique après 2015.
* 60 Le « Threat Hunting » est un exercice de sécurité proactif qui vise à trouver et à déloger les attaquants qui ont pénétré un système informatique sans déclencher d'alerte.
* 61 45 % tous les six mois, 36 % tous les ans, 12 % tous les deux ans. Par ailleurs 56 % des PME appliquent des correctifs chaque jour ou chaque semaine comme 58 % des grandes entreprises.
* 62 L'étude « Cybersecurity in the C-suite and Boardroom » réalisée par le cabinet ESG (Enterprise Strategy Group) sur la commande de Trend Micro, est basée sur une enquête réalisée en ligne auprès de 365 cadres dirigeants métiers ou IT de tous secteurs d'entreprises situées en Amérique du Nord (États-Unis et Canada) ou en Europe de l'Ouest (Royaume-Uni, France et Allemagne) entre le 28 septembre 2020 et le 24 octobre 2020.
* 63 « Moody's Warns Cyber Risks Could Impact Credit Ratings. Stresses the Importance of Defenses, as Well as Breach Prevention Response », Marianne Kolbasuk McGee , Bank Info Security, 24 novembre 2015.
* 64 « S&P's Cybersecurity Warning: Late to the Game Rating Agency Threatens to Downgrade Banks Over Security Shortcomings », Mathew J. Schwartz , Bank Info Security, 30 septembre 2015.
* 65 « L'autonomie stratégique face au cyber-rating », École de Pensée sur la Guerre Économique, Jean-Michel Barbier, 8 juin 2020.
* 66 Observatoire du monde cybernétique, Lettre n°61, avril 2017.
* 67 https://hautsdefrance.cci.fr/actualites/cybersecurite-tot-tard-serez-notes/
* 68 Sondage auprès de 800 entreprises sur les placements responsables effectué en 2019 par RBC, la Banque Royale du Canada.
* 69 La Plateforme nationale d'actions globales pour la responsabilité sociétale des entreprises (Plateforme RSE) réunit depuis 2013 les parties prenantes de la RSE en France : entreprises, partenaires sociaux, organisations de la société civile, réseaux d'acteurs, chercheurs et institutions publiques.
* 70 Déclaration de performance extra-financière.
* 71 Réponse au questionnaire de la Délégation aux entreprises du Sénat, 1 er juin 2021.
* 72 Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n°526/2013 (règlement sur la cybersécurité)
* 73 Voir sur ce sujet le rapport d'information de la commission des affaires européennes du Sénat n° 458 (session ordinaire 2017-2018) du 20 avril 2018 sur la cybersécurité dans l'Union européenne, de M. René Danesi et Mme Laurence Harribey.