Cybersécurité : 10 pistes politiques pour protéger les TPE/PME

beyond Technology

Cybersécurité : 10 pistes politiques pour protéger les TPE/PME

« À défaut de sursaut, nous risquons le chaos à brève échéance ! », s’alarment les Sénateurs Rémi Cardon et Sébastien Meurant dans un rapport sur la cybersécurité des entreprises publié le 10 juin. Avec la crise Covid et le 100 % télétravail, le virus cyber s’est propagé à vitesse grand V. « De nombreuses entreprises ont encouragé leurs salariés à utiliser leur propre équipement informatique. Cette situation a créé des brèches de sécurité, l’urgence étant la continuité de l’activité davantage que la sécurité numérique. Les cybercriminels en ont profité, avec une augmentation de 667 % des attaques par phishing enregistrées entre le 1er et le 23 mars 2020 », alertent-ils.

Des attaques qui visent de plus en plus les TPE/PME. « Une meilleure cyberdéfense des grandes entreprises a eu comme contrepartie de détourner la cybercriminalité vers les plus petites entreprises plus vulnérables », expliquent les sénateurs. 43 % des PME ont ainsi constaté un incident de cybersécurité en 2020, selon le dernier bilan annuel de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Au total, plus de 2 000 signalements ont été reçus l’année dernière, soit quatre fois plus qu’en 2019.

1. Développer le « security by design »

« De nombreux interlocuteurs ont rappelé que les fabricants de logiciels ne sécurisaient pas suffisamment leurs produits », notent les sénateurs dans leur rapport. À titre d’exemple, la base de données nationale sur les vulnérabilités (NVD) du gouvernement américain recense actuellement plus de 150 000 failles de sécurité. Un nombre en constante augmentation depuis 2018 (18 362 en 2020, contre 17 382 en 2019 et 17 252 en 2018).

Pour responsabiliser les éditeurs de logiciels et les revendeurs, la délégation souhaite ainsi renforcer le « security by design » (produit sécurisé en soi) des logiciels vendus aux TPE/PME. En légiférant d’abord sur les mises à jours. Une garantie logicielle de mise à jour existe pour les consommateurs une fois le produit numérique acheté : le vendeur doit fournir des mises à jour pendant au moins 2 ans et en expliquer les enjeux. Les sénateurs souhaitent l’adapter aux entreprises.

Puis, en organisant chaque année le 30 novembre (journée mondiale de la cybersécurité) un « hackathon » pour rendre publique les failles de sécurité et forcer la main des fournisseurs à revoir leurs produits. Il s’agirait d’inviter durant une journée les hackers à craquer les systèmes d’entreprises volontaires. Un jeu auquel se prêterait la délégation du Sénat, a fait savoir Sébastien Meurant.

2. Développer l’offre d’un « package » de solutions

Dans la continuité du « security by design », les sénateurs souhaitent la création d’un « package » de solutions de cybersécurité simple d’utilisation pour les TPE/PME. Une proposition inspirée d’un rapport de l’Institut Montaigne de novembre 2018 qui recommandait « la création et la souscription d’offres cybersécurité pour les TPE/PME/ETI, en particulier des offres de connectivité réseau intégrant par défaut des mesures de sécurité de base (nettoyage du trafic), des offres d’applications métier (ex. ERP) sécurisées par défaut et des offres de cyberassurance, incluant des services en cas d’incidents ».

Une solution majeure tant les entreprises « ont du mal à gérer leur propre complexité et celle des solutions de cybersécurité ». Il est ainsi d’ores et déjà conseillé de ne pas multiplier les outils et choisir autant que possible une offre « tout compris ». « Une société qui prétend être spécialisée dans un domaine, sans offrir d’autres produits complémentaires ou une assistance, ne peut pas fournir la protection qui vous convient », rappelle un cabinet d’expert dans le rapport.

Une autre proposition pour simplifier la vie des TPE/PME est de mutualiser l’expertise cyber. Les sénateurs recommandent la mise en réseaux des responsables de sécurité des services informatiques (RSSI) – affublés du statut de tiers de confiance – par les CCI France. Cela passerait par la constitution de groupements d’employeurs. Les TPE/PME adhérentes « partageant le même paysage numérique ».

3. Former les salariés par la voie professionnelle

« L’augmentation du budget alloué aux outils n’est pas une réponse suffisante face à la multiplication des menaces de plus en plus sophistiquées. Chaque salarié dispose de la clé de la cybersécurité de son entreprise », insistent les sénateurs. Ils misent sur la formation professionnelle pour changer la donne. Deux amendements au projet de loi portant lutte contre le dérèglement climatique intégrant la cybersécurité dans le contenu des formations proposées par les OPCO ont été déposés. La promotion des formations cyber serait confiée aux CCI.

Les auteurs du rapport souhaitent également créer de nouvelles formations courtes en cybersécurité (niveaux 3, 4, 5 /BTS ou DUT Cyber) pour former davantage de « cyber opérateurs ». Et proposer à des étudiants « cyber compétents » d’effectuer leur service civique dans un service d’urgence – créée uniquement pour les entreprises – rattaché à la plateforme cybermalveillance.gouv.fr. Ce coup de boost au niveau de la formation sera symbolisé par l’installation d’un cybercampus à l’automne 2021 à la Défense à Paris, un « lieu totem de la cybersécurité » où se côtoieront startup, grands groupes, TPE/PME, agences de l’État, étudiants, etc. « Il n’y a pas que des geeks à capuche qui officient dans ce domaine », démystifie à cet égard Sébastien Meurant.

4. Sensibiliser les dirigeants sur leur responsabilité personnelle

À l’instar des salariés, les dirigeants TPE/PME doivent également être sensibilisés aux enjeux de la cybersécurité. Les sénateurs insistent sur l’engagement de leur responsabilité personnelle en cas d’attaques. Un risque juridique encore sous-estimé ou méconnu. « Le fait que les TPE et PME puissent constituer une porte d’entrée dans les systèmes d’information des ETI ou grandes entreprises dont elles sont sous-traitantes, doit les inciter puissamment à s’investir dans la cybersécurité.

Si elles ne le font pas, l’omission dans la mise en place de mesures de sécurité suffisantes pourrait caractériser une faute par abstention susceptible d’engager la responsabilité civile de l’entreprise ou de son dirigeant », expliquent les sénateurs. Et ce, même si le devoir de vigilance des grands donneurs d’ordres les oblige à contrôler le risque cyber de leurs sous-traitants.

5. Préparer le marché de l’assurance

Une des manières de parer au risque cyber est de l’assurer. Selon une enquête de la CPME de janvier 2019, seules 17 % des PME de moins de 50 salariés étaient assurées contre les attaques informatiques. Les sénateurs entendent ouvrir les vannes de l’assurance aux TPE/PME en préparant le terrain. Une mesure délicate tant les conditions de souscription se durcissent à mesure que le risque cyber grandit.

La délégation aux entreprises du Sénat propose ainsi de lister de façon exhaustive les sinistres possibles, de capitaliser sur les logiciels et experts certifiés « ExpertCyber » – réserver à terme l’éligibilité à un remboursement par les assurances les entreprises ayant eu recours au services des prestataires labellisés – et de créer une agence de cyber notation européenne ou française utilisant les référentiels de l’ANSSI.

Par ailleurs, les sénateurs souscrivent à l’interdiction du caractère assurable des rançonlogiciels (l’assureur paie la rançon exigée par le cybercriminel) et des sanctions administratives en cas de violation du RGPD. Des assurances qui, selon eux, déresponsabilisent et mettent de l’huile sur le feu. « Les rançons attirent les criminels. On constate une baisse des attaques vers les hôpitaux publics car ils n’ont pas les moyens de payer une rançon !», explique Sébastien Meurant.

6. Créer un crédit d’impôt

Si les TPE/PME ne peuvent être incitées à court terme à se cybersécuriser via l’assurance, elles peuvent l’être par une incitation fiscale. Le Sénat ne cesse de proposer depuis 2018 l’instauration d’un crédit d’impôt spécifique pour les TPE/PME. Il permettrait de favoriser la formation au numérique des artisans et commerçants de détail et leur permettre de réduire de 50 % et à hauteur de 5 000 € leur coût d’équipement.

« Dans sa réponse, défavorable, le Gouvernement a prétendu que l’existence de onze opérateurs de compétences agréés (OPCO) chargés d’accompagner la formation professionnelle, de financer l’apprentissage et d’aider les branches à construire leur certification professionnelle en la matière, suffisait à satisfaire cet objectif », regrettent les sénateurs Rémi Cardon et Sébastien Meurant estimant que « les PME ont besoin d’un coup de pouce individualisé ».

7. Ouvrir un guichet de recueil anonymisé des plaintes

Afin de ne pas porter atteinte à la réputation des TPE/PME victimes d’une cyberattaque, les sénateurs proposent d’ouvrir un guichet de recueil anonymisé. D’une pierre trois coups, il permettrait également d’éviter la publicité autour des logiciels malveillants et de disposer de statistiques fiables.

« Il n’existe pas à ce jour en France d’organisme, privé ou public, dont la mission serait de collecter et d’anonymiser les incidents cyber afin de produire des statistiques […]. Cette absence de base de données fiable prive l’ensemble des acteurs économiques d’une source d’information qui contribuerait à une prise de conscience accrue du risque cyber », notent les sénateurs.

8. Faire réaliser un audit « cybersécurité » par les professionnels du chiffre

« Première vigies face aux cyberattaques subies par leurs clients », les experts-comptables et les commissaires aux comptes (CAC) sont invités par la délégation aux entreprises du Sénat à réaliser « un diagnostic cybersécurité annuel, avec un cahier des charges construit avec les autorités publiques, qui doit être communiqué directement aux dirigeants à titre d’information avec les recommandations de base pour couvrir les risques », expliquent les sénateurs.

Seul hic : « cela implique d’augmenter le niveau de compétence des métiers du chiffre sur la cybersécurité et de faire primer le rôle d’alerte et de sensibilisation sur une expertise technique en matière de cybersécurité ». Selon le rapport annuel 2020 du Haut conseil du commissariat aux comptes (H3C), seulement 5,9 % de commissaires aux comptes ont suivi une formation continue sur les systèmes d’information, la cybersécurité et la protection des données en 2019.

9. Modifier le droit de la commande publique

Ambitieuse, la délégation souhaite également « adapter le droit de la commande publique pour favoriser l’écosystème de la cybersécurité en :

  • pérennisant les dispositions du décret du 24 décembre 2018 au profit des collectivités locales permettant l’achat sans mise en concurrence de « services innovants » ;
  • permettant l’accès à l’offre de cybersécurité en dehors des plateformes de grossistes ;
  • étudiant la possibilité que les opérateurs de réseaux puissent privilégier un achat européen ou national de solutions de cybersécurité. »

Objectif : favoriser l’émergence de start-ups cyber françaises en leur permettant de signer des contrats avec des institutions publiques. Et ainsi détourner les administrations françaises des offres étrangères. « L’achat de solutions étrangères non maîtrisées est susceptible de menacer la souveraineté de la France lorsque les acheteurs sont des organismes publics, des OIV (Opérateur d’Importance Vitale), et/ou des OSE (Opérateur de Service Essentiel) », s’inquiète Philippe Vannier de l’Alliance pour la Confiance Numérique (ACN).

10. Instaurer un cyberscore

Les sénateurs prônent également la mise en place d’un cyberscore des grandes plateformes numériques. Une certification qui permettrait au grand public de privilégier « les applications et services numériques de confiance, protecteurs de nos données », comme le défendent plusieurs députés. « Même limitée aux plateformes numériques destinées au grand public, ce qui confèrerait une large audience, cette disposition doit permettre une sensibilisation du grand public à la cybersécurité, dont les entreprises pourraient indirectement profiter », soutiennent les sénateurs.

Et aussi

Les sénateurs proposent également de :

  • décliner des équipes de réponse aux incidents informatiques (CSIRT, Computer Security Incident Response Team) dans les régions et inclure la cybersécurité dans les schémas régionaux de développement économique, d’internationalisation et d’innovation (SRDEII) afin de sensibiliser les collectivités locales ;
  • élaborer des plans nationaux de prévention des cyberrisques, afin de coordonner la réponse des pouvoirs publics et des acteurs privés en cas d’attaque numérique systémique affectant une part significative des entreprises et organiser des exercices de simulation réguliers ;
  • adapter les procédures pénales à la cybercriminalité et renforcer la coopération des institutions judiciaires avec l’ANSSI au-delà de la lutte contre le terrorisme ;
  • accorder aux TPE/PME, dont le champ de l’activité principale n’est pas le numérique, la protection de l’article L.212-1 du Code de la consommation sur les clauses abusives pour les contrats conclus en matière de cybersécurité ;
  • étudier la faisabilité d’une solution de démarrage rapide configurant l’usage du cloud aux prescriptions de cybersécurité définies par l’ANSSI.

Retrouvez la publication oroginale par Matthieu Barry sur Net PME.