Cybersécurité : les sociétés sensibles vont devoir débourser pour se mettre en règle
Cybersécurité : les sociétés sensibles vont devoir débourser pour se mettre en règle
Par Sandrine Cassini
Groupes pharmaceutiques, opérateurs d’eau, de télécoms, banques, devront accroître sensiblement leurs dépenses pour répondre aux nouvelles réglementations en matière de cybersécurité.
AFP PHOTO / FRED TANNEAU | FRED TANNEAU / AFP
Que se passera-t-il le jour où l’organisation Etat islamique ou tout autre groupe terroriste fera appel aux services des cybercriminels ? « Nous craignons qu’un jour le sabotage industriel ou la prise en main à distance de système soit possible. Daech, qui a généré 2,5 milliards de dollars de chiffre d’affaires en 2015, a la capacité financière d’embaucher des ingénieurs informatiques », a lancé, lundi 27 juin, Louis Gautier, secrétaire général de la défense et de la sécurité nationale.
« Il y a de plus en plus d’attaquants. Et on se rend compte parfois que l’attaquant est présent dans le système depuis plusieurs années. C’est très inquiétant car on ne sait pas toujours quelles sont ses intentions », a renchéri Guillaume Poupard, le directeur général de l’agence nationale de sécurité des systèmes d’information (ANSSI), rattachée à Matignon, qui présentait de nouvelles mesures de cybersécurité destinées aux grandes entreprises.
Des mesures pour les « opérateurs d’importance vitale »
Jusque-là, les cyberattaques ont eu en France un faible impact. Mais anticipant un futur risque terroriste, le gouvernement va obliger les « opérateurs d’importance vitale » (OIV) à adopter des mesures spécifiques. L’expression désigne les 249 entreprises (la plupart du CAC 40), structures publiques ou parapubliques, dont la défaillance pourrait mettre en jeu la sécurité nationale. Le principe du renforcement avait été adopté dans la loi de programmation militaire votée fin 2013.
Depuis, l’ANSSI a négocié avec les entreprises réparties en 12 secteurs d’activité le contour de ces nouvelles mesures. Fruits de ces discussions, les trois premiers arrêtés, concernant l’eau, l’alimentation et la santé, entrent en vigueur le 1er juillet. Les autres (télécommunications, énergie, santé…) devraient être publiés dans la foulée.
Le directeur général estime le coût de ces nouvelles mesures à « 5 à 10 % du budget informatique total » de l’entreprise. Tous les acteurs ne sont pas logés à la même enseigne. Certains, comme les banques, les entreprises de la santé ou les opérateurs télécoms, ont déjà des politiques avancées en matière de cybersécurité. En revanche, de nombreux industriels (usine, pétrole, etc.) n’ont pas pris leur précaution. Une chose est sûre, toutes devraient batailler ferme pour réduire la part de l’activité, considérée comme « vitale », et soumise à la & nouvelle réglementation.
Parmi les mesures les plus lourdes, la détection d’incidents informatiques figure en tête de liste. Les entreprises seront ainsi obligées de mettre en place des infrastructures spécifiques, en faisant appel à des prestataires qualifiés. Soit un coût de plusieurs millions d’euros. « L’investissement initial est lourd, surtout pour ceux qui partent de zéro », confirme Michel Van Den Berghe, à la tête d’Orange Cyberdéfense. La filiale de l’opérateur télécoms dédiée à la cybersécurité fait partie des prestataires certifiés par l’ANSSI pour auditer les opérateurs d’importance vitale.
Information obligatoire
Autre contrainte, l’obligation d’information. Quel type d’incident faut-il communiquer à l’agence de l’Etat ? La question est particulièrement sensible, à l’heure où la révélation d’attaques informatiques est préjudiciable à la réputation d’une entreprise. Ces dernières craignent que des concurrents ou partenaires ne les dénoncent à l’ANSSI. L’agence promet donc une totale confidentialité et se pose en tiers de confiance. Tout en reconnaissant que le curseur n’est pas facile à placer. « A quel niveau met-on la barre ? C’est la question. Indiquer la présence de “cryptolocker” (logiciel de blocage d’un ordinateur ou d’un smartphone) n’est peut-être pas nécessaire. En revanche, faire remonter des choses étranges peut-être utile », dit Guillaume Poupard, qui rappelle que dans l’affaire de TV5 Monde, les premiers éléments qui auraient pu mettre la puce à l’oreille des informaticiens de la chaîne de télé, étaient « des têtes d’épingle ».
Dans les faits, Orange communique à l’ANSSI uniquement les incidents jugés clés. Ainsi, si l’opérateur décèle « 5 incidents par jour, résolus ensuite parfois de manière automatique », explique Michel Van Den Berghe, il n’a plus communiqué d’incident à l’ANSSI depuis 2014, date à laquelle il subissait une large fuite de données clients.
Enfin, Guillaume Poupard rappelle que certaines mesures demandent simplement un changement d’habitudes. Il s’agit, par exemple, de rappeler d’éviter d’utiliser l’ordinateur de la maison sur lequel les enfants téléchargent des jeux pour piloter un site sensible.