La cybersécurité : une urgence absolue

La cybersécurité : une urgence absolue

La France consacre trop peu de moyens à la cybersécurité. Ni les dirigeants politiques ni la société civile ne semblent avoir pris pleinement conscience de l’enjeu.

Retrouvez ma tribune publiée dans Les Echos

Les récentes attaques concernant le vol de données de  57 millions de clients Uber dans le monde ont mis un coup de projecteur sur les risques majeurs liés à la cybersécurité. En 2017, 37 % des entreprises françaises ont vu leurs données piratées. De grands noms comme Deloitte, Saint-Gobain ou BNP Paribas ont été ciblés et n’ont pas su se protéger. Est-ce à cause d’un manque de moyens ou d’un défaut de sensibilisation ?En 2018, un certain nombre de nouvelles dispositions légales verront le jour : la création d’un  nouveau statut d’opérateur de service essentiel pour les entreprises, indispensable au bon fonctionnement de l’économie et de la société, distinct de celui d’opérateur d’importance vitale déjà mis en place en 2016.

Et aussi, des obligations de sécurité renforcées, notamment au niveau de leurs systèmes d’information, pèsent désormais sur ces entreprises selon leur secteur d’activité. Ces dispositions sont pilotées par  l’ANSSI, l’organisme gouvernemental responsable de la mise en place d’une politique nationale de cybersécurité.

Petit budget

Malheureusement, la France continue de consacrer trop peu de moyens à la cybersécurité. L’ANSSI a disposé en 2017 d’un budget annuel de 80 millions d’euros. C’est moins que le budget de fonctionnement alloué à l’Elysée !

La liste des missions de cette agence, centrale dans la définition et la mise en oeuvre de notre politique de cybersécurité, est pourtant extrêmement vaste : sécurisation des systèmes d’information des ministères, détection des attaques à travers un centre de veille opérationnel 24 heures sur 24, formation des agents publics, collaboration avec les autres agences européennes… pour ne citer que les principales missions. Le tout avec un effectif de 600 personnes, soit la taille d’une grosse PME.

Des besoins sous-évalués

Notre cyberdéfense militaire commence tout juste à se structurer. La création récente du ComCyber, état-major responsable de la défense des systèmes d’information de l’armée et de l’anticipation de la menace, est une pierre angulaire dans notre défense nationale. Il aura fallu neuf ans après la création de l’ANSSI pour y parvenir.

La ministre des Armées, Florence Parly, a récemment annoncé qu’elle porterait le nombre de cybercombattants  de 3.000 à 4.000 d’ici à 2025. Le ministre de l’Intérieur a de son côté déclaré que, sur les 10.000 policiers ou gendarmes qui seraient recrutés d’ici 2022,  800 seulement seront missionnés sur les sujets de cybersécurité.

Que l’on prenne en compte le nombre absolu de ces effectifs ou leur augmentation prévue, les chiffres sont ridiculement bas par rapport à l’importance des enjeux. Sans vouloir être alarmiste, on parle ici du risque de voir l’alimentation électrique d’un hôpital coupée, ou de voir le système d’aiguillage d’un train piraté.

Être prêts dans quelques mois

Si l’on regarde du côté des initiatives privées, le marché de la cybersécurité américain représente 40 % du marché mondial, quand l’Europe n’en représente que 25 %. Certes, bpifrance travaille sur des projets de création de fonds d’investissement sur ces sujets, ce qui contribuera certainement à augmenter l’investissement en R & D des start-up françaises.

Mais la question de la politique industrielle de la France en matière de cybersécurité reste entière. Les initiatives régionales pour fédérer le secteur ne manquent pas, le pôle de compétitivité Systématic en Ile-de-France en est un exemple. C’est cependant d’un écosystème d’envergure nationale, impulsé par l’Etat, dont la France a besoin. La capacité future du gouvernement à analyser ses besoins en matière de cybersécurité de manière transversale, à programmer les commandes à l’industrie et à mobiliser les universités et les programmes de recherche sera déterminante.

Le degré de préparation de notre pays aux risques liés à la cybersécurité est un enjeu d’une urgence absolue. Il ne s’agit pas d’être prêt dans 10 ans, il s’agit d’être prêt dans quelques mois. Pourtant, la prise de conscience politique de cette urgence émerge à peine. La conscience citoyenne est balbutiante.

Le mot « cybersécurité » n’évoque rien pour la plupart d’entre nous. Qui peut nommer les moyens qu’il faut mettre en place, les enjeux auxquels il faut faire face, les acteurs concernés – publics ou privés – en dehors de quelques spécialistes ? Et qu’en est-il des écoles, mairies et associations, privées de moyens, de ressources humaines, de conseil ou de formation pour faire face à ces enjeux ? Il est temps pour chacun, individu ou collectivité, d’arrêter de penser que la cybersécurité est du domaine de la science-fiction. Et de s’intéresser durablement au sujet.