> Sécurité > Présidentielles 2022 : les 10 propositions du CESIN pour la cybersécurité

Présidentielles 2022 : les 10 propositions du CESIN pour la cybersécurité

Sécurité - Par Sabine Terrey - Publié le 15 février 2022
email

Transformation numérique de la société, des entreprises, des administrations, conquête du monde par les géants du numérique, dépendances préoccupantes, surface d’attaque élargie, multiplication des cyberattaques … Face à ces défis, découvrons les 10 propositions du CESIN.

Présidentielles 2022 : les 10 propositions du CESIN pour la cybersécurité

La France se retrouve « en position de colonie numérique de grandes puissances étrangères ». Si des initiatives en matière de cybersécurité ont vu le jour en France et au niveau européen, il reste « beaucoup de chemin à parcourir pour que le numérique soit synonyme d’indépendance et de sécurité afin qu’il apporte toute sa valeur à notre société ».

Voici les 10 propositions en matière de cybersécurité :  le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, présidé par Mylène Jarossay, CISO du groupe LVMH, élabore 10 propositions pour la cybersécurité pour les Présidentielles 2022.

Le CESIN se concentre notamment sur les entreprises, l’éducation des jeunes pour préparer le futur de la cybersécurité.

Proposition n°1 – Créer un Ministère du Numérique

Le numérique en France représente 6% du PIB, 150Md de dépenses et environ 1 million d’emplois salariés (1). Au-delà des chiffres, c’est une place tellement stratégique dans notre société qu’elle mérite absolument qu’un ministère de plein droit soit créé, qui s’appuierait sur un secrétariat d’État dédié à la cybersécurité.

Proposition n° 2 – Promouvoir un véritable numérique de confiance européen

Il s’agit d’aider au développement d’offres européennes, en favorisant des solutions et services de grande diffusion, accessibles au plus grand nombre, plutôt que pour des usages n’impliquant que des données sensibles qui restent des sujets de niche. L’indépendance ne se gagne que si le périmètre couvert est large et vise des usages quotidiens et massifs. Cela vaut tant pour les offres digitales au sens large que pour les solutions de cybersécurité.

L’objectif est double : nous rendre moins dépendants de solutions étrangères et assurer d’une manière générale une protection de nos données vis-à-vis de lois extraterritoriales souvent équivalentes à des permis d’espionner. Car les géants du numériques s’enrichissent avec des souscriptions et des licences, et captent intensivement nos données qui nourrissent leurs industries.

Proposition n°3 – Favoriser l’innovation

De nombreuses initiatives sont prises pour financer l’innovation. Le tissu de startups dans le monde numérique, et particulièrement en cybersécurité, est éloquent. Cependant rien n’est fait ou presque pour que ces solutions émergent vraiment et gagnent par rapport à la concurrence étrangère. Dans le numérique tout le monde a sa chance de devenir le géant de demain avec de l’audace et du soutien.

Il faut inventer les mécanismes qui poussent des initiatives sur des terrains stratégiques, et qui favorisent les solutions innovantes françaises et européennes pour les donneurs d’ordre. Il faut aussi penser l’après startup pour que les licornes françaises ne soient pas quasi automatiquement rachetées par des entreprises étrangères.

Proposition n°4 – En finir avec cet afflux de logiciels vulnérables

La généralisation du numérique a mécaniquement augmenté le nombre de logiciels que nous utilisons au quotidien. Or nos entreprises font face à un nombre exponentiel de vulnérabilités à traiter, soit parce que les éditeurs ont produit vite et mal, des applications comportant des failles logicielles, et ces cas sont en nette augmentation ces dernières années, soit parce qu’un attaquant a réussi à s’introduire chez un éditeur et à insérer un code malveillant au sein des logiciels produits. Cette escalade n’est plus supportable car c’est aux clients de ces éditeurs de faire ensuite les efforts pour compenser ce niveau de sécurité déplorable.

Les clients doivent installer des correctifs pour supprimer ces failles de sécurité, ce qui représente un coût élevé de maintien en condition de sécurité. Ils doivent de surcroit compenser les défauts de ces briques logicielles par des mesures additionnelles coûteuses. Et comme si cela ne suffisait pas, ils doivent aussi assumer les conséquences, si ces vulnérabilités sont exploitées par des acteurs malveillants pour mener des cyberattaques.

Il faut obliger les éditeurs à prendre des engagements formels sur la sécurité intégrée dans les logiciels qu’ils produisent. Cela passe par des labels, des organismes de certification tiers adaptés aux nouvelles chaînes de développement, et par des lois qui introduisent un niveau de responsabilité de l’éditeur, comme c’est le cas pour des produits matériels.

Proposition n°5 – Créer un guichet unique en cybersécurité pour simplifier les parcours

Au fil des ans et des problématiques à traiter, différentes autorités et points d’entrée en matière de cybersécurité se sont développés. De nombreuses initiatives ont été menées à l’échelle nationale ou régionale pour aider les entreprises et les particuliers. Toutes partent d’une bonne intention, mais cette offre est devenue complexe à utiliser. Le dirigeant d’entreprise ne sait pas à qui s’adresser pour comprendre le sujet cyber, pour se former, pour vérifier un label ou une certification ou pour se faire aider et déposer une plainte lorsqu’il est confronté à une cyberattaque. Et ce n’est pas plus simple pour les particuliers.

La création d’un guichet unique national de la cybersécurité devrait permettre d’améliorer la lisibilité des dispositifs cyber et d’y recourir facilement et avec une meilleure efficacité. Par exemple, il est tout à fait inapproprié, voire incongru, d’aller physiquement dans un commissariat de quartier pour déposer une plainte cyber alors que l’entreprise est dans la tourmente d’une cyberattaque.

Téléchargez cette ressource

Comment lutter contre le Phishing ?

Comment lutter contre le Phishing ?

Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.

Proposition n°6 – Des Responsables Cybersécurité obligatoires dans les entreprises et les administrations

La sécurité est l’affaire de tous dit l’adage, mais lorsque le sujet est incarné par une personne chargée particulièrement de ce dossier, le changement est radical. C’est pourquoi à l’instar de ce qui s’est fait avec le RGPD et la création de postes de DPO obligatoires dans les entreprises, il faut rendre le Responsable Cybersécurité obligatoire dans toutes les entreprises. La protection du numérique est devenue trop stratégique pour que sujet soit traité de façon optionnelle. Des postes de Responsables Cybersécurité à temps partagé peuvent être envisagés pour les petites et moyennes structures.

Proposition n° 7 – Une formation cyber obligatoire pour les dirigeants

Tous les dirigeants d’entreprises devraient suivre une courte formation obligatoire annuelle nationale sur les risques cyber (enjeux, priorités, principes de gouvernance, connaissance des actions essentielles et de la réglementation).

Ce dispositif commencerait dès l’enregistrement de l’entreprise. Cette formation récurrente pourrait conditionner toute forme de subvention aux entreprises dans le domaine des technologies de l’information et des communications.

Proposition n°8 – Un diagnostic flash cybersécurité obligatoire

Les entreprises devraient être tenues de faire réaliser annuellement un diagnostic flash (par exemple d’une durée d’une journée) sur quelques points de contrôle des mesures de sécurité essentielles en analogie avec le contrôle technique d’un véhicule ou la vérification d’une installation contre l’incendie. Personne ne doute qu’un ensemble de dispositifs de détection contre l’incendie soit nécessaire pour protéger les personnes et les biens matériels. Mais il n’y a pas encore la même perception sur l’immatériel.

Une cyberattaque peut avoir de gros impacts opérationnels, financiers et/ou réputationnels, et aller jusqu’à paralyser une entreprise gravement et même définitivement. Combien d’entreprises connaissent les mécanismes coupe-feu, de détection ou d’extinction dans le domaine du numérique ? A l’issue de ces diagnostics, les entreprises devraient avoir l’obligation de traiter les points critiques identifiés sous un certain délai, comme c’est le cas quand des défauts importants sont trouvés sur des installations ou sur des véhicules, car ces défauts peuvent mettre en danger la vie de l’entreprise.

Proposition n°9 – Nos jeunes passent la moitié de leur temps dans le monde numérique et ne sont pas éduqués au numérique et à la sécurité

Il faut absolument intégrer une éducation complète à la vie numérique dans les collèges et les lycées, pour former les jeunes à une approche critique et responsable des outils numériques et d’Internet.

Par ailleurs, la pénurie de ressources en matière de cybersécurité n’est plus à démontrer. Le fléchage vers des formations supérieures de « cyber-spécialistes » est faible voire inexistant et la représentation actuelle des métiers de la cybersécurité comporte encore des clichés qui n’incitent pas les lycéennes en particulier à rejoindre cette filière. Il faut continuer de développer l’offre de formations supérieures, la faire connaître et la promouvoir pour encourager les jeunes à s’orienter vers cette filière.

Proposition n°10 – Traiter le cas des réseaux sociaux 

L’extrême pénétration des réseaux sociaux dans nos vies personnelles mais aussi professionnelles n’est plus à démontrer. D’un point de vue cybersécurité, cela veut dire au quotidien des vols de données, des usurpations d’identité, la propagation de fakes news sans compter d’autres dérives qui peuvent, in fine, atteindre à la sécurité des personnes, des entreprises et des Etats. Ces réseaux sociaux véhiculent des incitations à la violence, des atteintes au bien-être des personnes, des menaces, intimidations et autres agressions. Et nous savons que les intelligences artificielles que ces plateformes utilisent, s’appuient sur des algorithmes qui amplifient ces phénomènes.

On ne peut pas juste faire le constat d’une zone de non droit, de lieux de l’ultra violence et de l’atteinte constante à la vérité. D’une part il faut pouvoir donner un statut à ces plateformes pour qu’elles portent une responsabilité sur les contenus postés. Et ce doit être possible car des plateformes ont déjà bloqué les comptes de personnalités publiques. Si elles l’ont fait pour au moins une personne, c’est qu’elles s’octroient la capacité de réguler les contenus, donc allons jusqu’au bout du raisonnement et assignons un devoir de régulation. Après tout, dans le monde physique, si vous ouvrez largement votre appartement et que vos invités font un tapage nocturne, vous êtes responsable… Et de même que l’on notifie, sur des contenus audiovisuels, la présence de contenus pouvant choquer et que l’on affiche un âge minimum recommandé sur certains films, pourrait-on imposer à ces réseaux de tagger les contenus inappropriés et de ne pas avoir le droit de servir plus de N% de contenus entrant dans ces catégories. Cela freinerait les ardeurs des algorithmes amplificateurs.

 

 

 

 

1 https://www.markess.com/analyses-sectorielles/analyse-prospective-et-strategique-de-markess-by-exaegis/

 

 

Sécurité - Par Sabine Terrey - Publié le 15 février 2022