Un rapport identifie des vulnérabilités dans la stratégie nationale pour la cybersécurité

La Commission supérieure du numérique et des postes (CSNP) vient de transmettre au gouvernement un avis particulièrement alarmiste, et volontariste, au sujet de la « sécurité numérique ». Elle propose d'aller (bien) au-delà du milliard d'euros prévu par la stratégie nationale pour la cybersécurité, annoncée en février.

Commission composée de sept députés, sept sénateurs et trois personnalités qualifiées, la CNSP a pour mission de contrôler les activités postales et de communications électroniques (téléphonie fixe, mobile et internet).

Évoquant des attaques qui se sont multipliées « à un rythme quasi-exponentiel ces deux dernières années, partout dans le monde », son avis, qui vient d'être remis à Cédric O, relève que « tous les experts auditionnés par notre Commission nous ont fait part de leurs inquiétudes ».

À les en croire, la situation sécuritaire « est désormais particulièrement préoccupante » et devrait continuer à se dégrader, tant du côté des cybercriminels que pour ce qui est des grandes puissances numériques.

Ce qu'elle qualifie de « sombre perspective » ne serait « hélas pas qu’une simple hypothèse ou une vue de l’esprit, mais un scénario plausible », qui pourrait conduire nos démocraties au « chaos numérique » :

« La capacité des cybercriminels à commettre leurs forfaits s’est professionnalisée, mondialisée et industrialisée, et croît plus rapidement que celle de leurs victimes à se protéger. Les principales puissances numériques elles-mêmes, à commencer par les États-Unis, la Chine et la Russie, sont au bord du cyber-affrontement.

À ce rythme, si la France et l’Europe ne prennent pas rapidement la mesure du défi sécuritaire auquel nous sommes collectivement confrontés, et n’adoptent pas des mesures vigoureuses permettant de changer les paradigmes de la sécurité dans l’espace numérique, nos États, notre économie, nos concitoyens, le fonctionnement même de nos démocraties pourraient être confrontés au chaos numérique à l’horizon de la prochaine décennie. »

La cybersécurité ne saurait se résumer à boucher les trous

La CSNP qualifie la stratégie nationale pour la cybersécurité présentée par le Président de la République le 18 février dernier, de « plan ambitieux », eu égard au milliard d’euros dont 720 millions de financements publics qui seront investis en vue de réduire les vulnérabilités dans les systèmes informatiques tant publics que privés et de faire émerger des champions français de la cybersécurité.

Les objectifs clés fixés à l’horizon 2025 visent entre autres à :

• multiplier par plus de trois le chiffre d’affaires de la filière (passant de 7,3 milliards à 25 milliards d’euros) ;
• positionner la France par rapport à la concurrence internationale en doublant notamment les emplois de la filière (passant de 37 000 à 75 000) ;
• structurer la filière et repositionner la France par rapport à la concurrence internationale en nombre d'entreprises ;
• faire émerger trois licornes françaises en cybersécurité en s'appuyant sur les grandes start-up du secteur, et notamment celles membres du French Tech 120 ;
• diffuser une véritable culture de la cybersécurité dans les entreprises ;
• stimuler la recherche française en cyber et l'innovation industrielle (hausse de 20% des brevets).

Pour autant, « la cybersécurité ne constitue qu’un volet des mesures » susceptibles de faire face aux problèmes et enjeux afférents, estime la CSNP. Elle voudrait également que les mesures de renforcement des capacités de lutte contre la cybercriminalité « apparaissent comme prioritaires », entre autres.

Elle considère en effet qu'une chose est d'élever le niveau de cybersécurité des entreprises, administrations et collectivités, mais qu'une autre est aussi d'élever le niveau de compréhension des citoyens, qualifié d'« essentiel » :

« Ils doivent être instruits des menaces auxquelles ils peuvent être confrontés dans leurs usages du numérique, que ce soit dans leurs usages numériques du quotidien, en utilisant des objets connectés ou dans le cadre du télétravail qu’ils sont de plus en plus nombreux à pratiquer, et qui peuvent mettre en cause la protection de leurs données personnelles. »

Au terme de ses auditions, la CSNP a estimé qu'il était urgent, « compte tenu de la gravité d’une situation sécuritaire qui ne cesse de se dégrader », de formuler 27 recommandations concrètes, réparties en cinq thématiques :

1. Le renforcement de la lutte contre la cybercriminalité ;
2. Les points d’amélioration du plan cyber ;
3. La stratégie de cyberdéfense de l’État français ;
4. La sécurité des produits et services numériques, et le développement du cloud de confiance ;
5. La conduite des politiques publiques en faveur de la sécurité dans l’espace numérique.

Un parquet national cyber, plus un autre européen

La CSNP relève au premier chef que la stratégie nationale pour la cybersécurité « n’aborde pas le volet du traitement policier et judiciaire de la cybercriminalité », et déplore même « une véritable carence de l’État dans les moyens dédiés à la lutte contre la cybercriminalité ».

Elle estime, a contrario, que cela devrait être une « priorité gouvernementale », alors que trois magistrats seulement traitent les dossiers de cybercriminalité en France, un effectif qualifié de « clairement insuffisant ».

La CNSP recommande dès lors la création d’un « parquet national cyber », disposant des ressources et des expertises suffisantes, mais également celle d’« un véritable parquet européen spécialisé dans la cybercriminalité », que la prochaine Présidence française de l’Union européenne en 2022 pourrait contribuer à favoriser.

Le gouvernement est également appelé à consolider le dispositif des référents cybercriminalité, « auprès de chaque Cour d’appel », en renforçant notamment leur formation à ces enjeux. Cet effort de formation (initiale et continue) devrait en outre être proposé aux magistrats, et porter tant sur les enjeux du numérique, la sécurité dans l’espace numérique, que le traitement judiciaire de la cybercriminalité.

Muscler l'ANSSI, interdire ou encadrer les rançons

La CNSP salue par ailleurs l’arrêté du 25 février 2021 portant création du commandement de la gendarmerie dans le cyberespace, qui devrait permettre de fédérer l'action de ses services spécialisés, dont le Centre de lutte contre les criminalités numériques (C3N) et le réseau CyberGEND des enquêteurs numériques de la gendarmerie.

Les membres de la CSNP estiment cependant que le ministère de l’Intérieur « ne dispose pas des moyens suffisants, en nombre et en qualité », pour assurer le maintien de l’ordre public dans l’espace numérique, « y compris dans ses dimensions les moins régulées comme le darkweb ». Ce pourquoi elle recommande « un renforcement significatif des moyens des services d’enquête pour lutter contre la grande cyberdélinquance ».

D'un point de vue législatif, si elle n’appelle pas à l’adoption d’une nouvelle loi sur la cybersécurité, elle n'en propose pas moins des aménagements aux textes actuels afin d'étendre les pouvoirs et capacités d’investigation technique de l’ANSSI.

Il s'agirait en l'espèce de lever le secret des enquêtes judiciaires pour renforcer le champ d’action de l’ANSSI « à l’instar des mesures qui ont été prises pour renforcer l’action de nos services de renseignement en matière de lutte contre le terrorisme ».

La CNSP relève par ailleurs qu'il n'est « pas acceptable » qu'environ 20% des entreprises victimes de rançongiciels « paieraient la rançon qui leur est réclamée par les attaquants, souvent incitées à le faire par les sociétés d’assurance auprès desquelles elles ont souscrit une police d’assurance contre les cyber-risques ».

Elle recommande dès lors de « développer un dispositif de régulation » du paiement des rançons par les entreprises françaises, « soit pour l’interdire », soit pour rendre obligatoire, sous le couvert d’une protection du type « secret des affaires », la déclaration aux autorités françaises, d’une demande de rançon et de son traitement.

Plus d'argent, de sensibilisations, mais aussi de femmes

La CSNP se félicite du fait que la stratégie nationale pour la cybersécurité permettra de renforcer la filière française de la cybersécurité, « en doublant les emplois passant de 37 000 à 75 000 », et de stimuler la recherche française en cybersécurité et l'innovation industrielle.

Mais elle voudrait aussi aller plus fort, plus loin. Alors que l’ANSSI va bénéficier d’un budget de 136 millions d’euros sur 2021/2022 pour financer des projets structurants, et que l’État a su dégager des moyens pour permettre le recrutement de 600 experts en cybersécurité (contre 200 experts à sa création en 2009), elle connait cependant un turn-over « relativement élevé », ses experts étant « très recherchés sur un marché particulièrement en tension ».

Elle propose dès lors au gouvernement de mobiliser les moyens qui permettront à l’ANSSI de « fidéliser ses agents en leur offrant des conditions plus attractives ».

Elle constate au surplus que la Commission européenne anticipe un déficit de 500 000 emplois dans le numérique en général, notamment la cybersécurité, la science des données et l’intelligence artificielle, d’ici 2025.

Si le plan d’accélération cyber propose de renforcer la formation initiale et continue aux métiers de la cybersécurité, afin de résorber les déficits de compétences dans ce domaine, la CNSP veut là encore accélérer, et accentuer les efforts.

En sensibilisant et formant les agents publics, « notamment ceux qui sont employés dans les plus petites structures, particulièrement vulnérables », mais également les collégiens, « grâce aux stages de troisième », d'une part.

D'autre part, en intégrant « systématiquement et rapidement » dans tous les cursus de formation (initiale et continue) aux métiers du numérique les principes de « sécurité par conception », « d’architecture sécurisée » et de « sécurité d’exploitation ».

La CNSP déplore par ailleurs la faible féminisation de ces métiers (« à peine 15% ») et particulièrement des métiers de la cybersécurité, dans lesquels les femmes représenteraient « à peine 11% des effectifs ».

Elle demande dès lors « que soit mis un terme à ce phénomène d’éviction croissante des femmes de ces métiers ». Et appelle les pouvoirs publics à renforcer leurs soutiens à la fondation Femmes@Numérique (présidée Christine Hennion, députée LREM des Hauts de Seine et membre de la CSNP), qui œuvre en faveur de la féminisation des métiers du numérique.

Incitations fiscales et rachats de failles zéro day

La CSNP recommande en outre de développer une politique industrielle active de consolidation de la filière industrielle française des produits et services de cybersécurité afin de « favoriser la création d’entreprises leaders de la cybersécurité, disposant d’une taille critique de classe mondiale et capables de développer des gammes de produits de sécurité répondant aux attentes du marché mondial ».

Elle propose à ce titre que l’État prenne une part plus active à la consolidation de la filière cybersécurité en mobilisant davantage le levier de la commande publique au niveau national et européen, « a minima » au profit des OIV (Opérateurs d’Importance Vitale) et OSE (Opérateurs de Services Essentiels) afin de leur permettre d’accéder à des solutions de confiance.

Alors que le plan d’accélération cyber incite les entreprises à porter leurs investissements dans les produits et services de sécurité numérique à hauteur de 5 à 10% du montant de leur budget informatique, la CNSP suggère d'accompagner cet effort par des « mesures d’incitation fiscale » afin que les entreprises puissent dédier plus facilement et rapidement des moyens supplémentaires à leur budget cybersécurité.

La Commission estime au surplus qu'« il apparaît essentiel de réguler les activités de dévoilement des failles de sécurité et de vulnérabilité ». Elle considère en effet que « certains chercheurs agissent de manière irresponsable en documentant publiquement des vulnérabilités », offrant la possibilité aux cybercriminels de les exploiter avant même qu'elles aient pu être corrigées.

Plutôt que d'appeler à légiférer, la CNSP appelle le Gouvernement à se saisir des recommandations du rapport de l'OCDE « Encouraging vulnerability treatment » publié en février dernier, et le porter à l'attention des instances européennes et internationales, qui proposait notamment de mutualiser le rachat de vulnérabilités :

« L'achat de toutes les vulnérabilités des 50 premiers fournisseurs, qui représentent 57 % de toutes les vulnérabilités, coûterait environ 1,165 milliard de dollars en 2020. L'achat de toutes les vulnérabilités auprès des 500 premiers fournisseurs, qui représentent 81 % de toutes les vulnérabilités de la base de données NVD, coûterait 1,732 milliard de dollars.

Cela représente 0,003 % du PIB cumulé des membres de l'OCDE (ou 0,011 % du PIB cumulé des membres de l'UE, ou 0,008 % du PIB des États-Unis). Cela représenterait également beaucoup moins de 0,5% des pertes mondiales dues à la cybercriminalité, en supposant que les pertes totales s'élèvent à 1 000 milliards de dollars (les estimations du coût mondial de la cybercriminalité, qui font toujours l'objet de débats, vont de 100 à 6 000 milliards dollars). »

Neutraliser les cybercriminels, avant qu'ils ne passent à l'acte

Évoquant la stratégie de cyberdéfense française, la CSNP déplorait en outre que les capacités nationales « interviennent essentiellement en "pompiers" pour accompagner les victimes des cyber-agressions », alors qu'elles devraient être développées « de manière très substantielle » afin de pouvoir détecter et identifier les attaquants « partout sur la planète », afin de « neutraliser les cybercriminels, avant qu’ils ne commettent leurs méfaits ».

Anticipant la future présidence française de l’Union européenne, elle appelle de ses voeux un « véritable changement de paradigme » de sorte que l’Europe puisse reconquérir son autonomie afin de maîtriser ses dépendances à des technologies et des opérateurs extra-européens dans un secteur « largement dominé par les États-Unis, et demain par la Chine ».

Constatant que, « contrairement à la plupart des autres secteurs industriels, l’industrie du numérique n’est pas encore soumise à des normes minimales de sécurité », elle appelle à ce titre la France et l'Europe à renforcer leur présence dans les instances de normalisation internationales afin de contribuer au développement de normes communes et d'« instruments règlementaires contraignants ».

La CSNP incite également le Gouvernement à développer et renforcer les liens entre les acteurs politiques et industriels du numérique afin de faire émerger des solutions de cloud de confiance, « notamment au profit des applications les plus sensibles pour nos concitoyens comme celles traitant des données de santé ».

Estimant que le Commissariat à l’énergie atomique et aux énergies alternatives a été l’instrument de l’autonomie de la France dans le domaine de l’énergie atomique civile et militaire, elle suggère enfin d’étudier une articulation plus efficiente des capacités nationales de recherche et technologie dans le domaine du numérique, « fédérant notamment les ressources de l’INRIA, du CEA et du CNRS, dans une gouvernance commune ».

De fait, la stratégie nationale d’accélération sur la cybersécurité, qui vise à construire un véritable « écosystème cyber » français d’ici 2025, s'appuie sur la recherche française en confiant au CNRS, à Inria et au CEA le pilotage du Programme et équipements prioritaires de recherche (PEPR), à hauteur de 65 millions d’euros. 

Notre dossier sur le plan Cyber : 

• Cybersécurité : on peut prouver que « la sécurité parfaite n'existe pas »
• Cybersécurité : le miroir aux alouettes de l’open source, la confiance dans les composants
• « Un jour ou l'autre on sera attaqué » : cryptographie et méthodes formelles au chevet de la cybersécurité
• En cybersécurité, « la maîtrise totale est sans doute totalement hors de portée »