Plan de cybersécurité de Manuel Valls : l’Etat transforme un peu plus le web en espace public sous contrôle<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Economie
Plan de cybersécurité de Manuel Valls : l’Etat transforme un peu plus le web en espace public sous contrôle
©Reuters

Cybersécurisation

Manuel Valls a présenté vendredi 15 octobre la nouvelle stratégie de la France en matière de cybersécurité. Objectif : se prémunir des attaques contre les intérêts économiques de la France. Nouveauté : les PME sont aussi concernées.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico : Concernant les PME, que faut-il retenir des déclarations de ce matin de Manuel Valls sur la cybersécurité ?

Franck DeCloquement : Pour faire court, Manuel Valls exposait en quelque sorte vendredi dernier, une redéfinition de la stratégie de la France en matière de cybersécurité. Et ceci, à travers la présentation d’un document de référence d’une quarantaine de pages : "Stratégie Nationale pour la Sécurité du Numérique", visant à résumer la "doctrine française" face cette menace protéiforme aux effets dévastateurs en provenance de groupes religieux radicaux prédateurs, de groupes mafieux organisés ou encore de services spécialisés étrangers à la soldes d’Etats agressifs ou concurrents. Y compris de nos propres alliés… 

Après avoir mis l'accent sur les "OIV" ou  "Opérateurs d'Importance Vitale" pour l’Etat (trains, production d'énergie, grandes banques, etc.), le gouvernement de Manuel Valls marque notamment sa volonté appuyée de toiletter et renforcer substantiellement la protection des PME françaises - acteurs majeurs de notre économie - et encore trop souvent, et largement désarmées face aux cybers attaques et autres cyber menaces de toute nature. Les dernières arnaques numériques "aux faux présidents" de sociétés, ayant trait à des virements bancaires dévoyés par des criminels ingénieux, l’on encore cruellement prouvé récemment… Usant habilement de "l’ingénierie sociale" (méthodes de manipulations psychologiques basée sur l’usage des vulnérabilités humaines) et des moyens d’actions numériques dédiés, pour tromper les personnels des entreprises cibles, et les piller financièrement à l’envi.

Cette prise de position gouvernementale intervient après l’émergence fracassante sur la place publique, d’affaires emblématiques d’une gravitée absolue, ayant depuis confirmé la nature et l'ampleur des risques cyber. Allant de "l'affaire Snowden" et des actions d’espionnage planétaire de la NSA, en passant par le piratage de la chaîne nationale "TV5 Monde" par des hackers particulièrement agressifs et malveillants. Yves Bigot, son directeur général en verve de confidences - qui est en outre venu témoigner lors de cette matinée de présentation sur son expérience - soulignant que "les assaillants sont probablement un groupe de hackers russes connu sous le nom d’APT 28".

La multiplication des attaques de même nature contre les entreprises françaises et les intérêts nationaux, n’ayant d’ailleurs pas toutes été rendues publiques... Concernant plus spécifiquement les PME-PMI, et afin de protéger les intérêts économiques des entreprises françaises - mais aussi de l’Etat et des populations - un accord doit être signé sous l'égide de la secrétaire d'Etat au numérique Axelle Lemaire en périphérie de cette conférence, avec les opérateurs de l’internet français. Accord ayant pour objectif prioritaire de protéger les mails qui circulent entre les différents serveurs leur appartenant. Cet accord prévoit en outre la création d'un "dispositif national d'assistance aux victimes d'actes de cyber malveillance", selon les dernières déclarations en date. Le gouvernement entend en effet davantage orienter son action stratégique à travers ce nouveau dispositif, vers les petites et moyennes entreprises (PME-PMI), et les particuliers pouvant être impactés très durement.

Quelles sont les cybers menaces et les attaques les plus courantes à l'encontre des PME ?

Il en existe de très nombreuses sortes pouvant atteindre durement l’écosystème entrepreneurial. Atteintes que nous avions toutes listées dans notre "Petit Traité d’attaques Subversives contre les Entreprises" publiés aux éditions Chirons dés 2009. Celles-ci pouvant aller du "soft" au très "hard" : vols de données numériques confidentielles à travers la captation électronique des fichiers clients, des bases de données de l’entreprise, des documents commerciaux confidentiels, des comptes bancaires, des divers contrats signés ou souscrits par l’entreprise auprès de ses clients ou de ses différents prestataires, des plans stratégiques de développement à court ou moyen terme, des éléments comptables, des bilans financiers, des documents RH, des identifiants et mots de passe numériques ayant trait aux personnels, etc… Destruction pure et simple des données numériques, destructions ou corruption de certains fichiers, de matériels dédiés ou de tout le parc informatique… Usurpation d’identité des dirigeants à des fins de malversations financières comme nous le rappelions plus haut dans les affaires récentes "d’arnaques aux faux Présidents d’entreprises", espionnage ou destruction des systèmes d’information, chantage, corruption, actions malveillantes sur la réputation, inductions d’images à caractère délictueux dans les ordinateurs des membres de la direction d’une société pour les déconsidérer publiquement, détournements des boites mails, lecture des courriers confidentiels et des échanges par courriels, enregistrements des conversations téléphoniques, intrusions et prises de control des dispositifs de vidéosurveillance - internes et / ou externe - captations et usages frauduleux du rayonnement wifi des installations, intrusions intempestives dans les intranet sécurisés et mal protégés, etc…

Dans ce registre, seule l’imagination des prédateurs fixe l’horizon des formes possibles d’agressions et des dégâts consécutifs occasionnés pour les structures entrepreneuriales. Et les PME sont particulièrement vulnérables dans ce domaine. L’actualité ne cesse de le rappeler à notre bon souvenir quotidiennement…

Manuel Valls le rappelait d’ailleurs lui même dans son intervention de présentation ce vendredi : L’exécutif fait en effet le constat, désormais bien connu des spécialistes, de l’"accroissement des capacités des attaquants et de la prolifération des techniques d’attaques" et évoque dans la foulée le chiffre faramineux d’une "centaine d’attaques d’importance depuis 2011" contre de grandes entreprises ou des composantes de l’Etat Français. Ce chiffre très probablement sous-évalué ne pourra qu’aller en s’accroissant… Car ne l’oublions pas, la plupart des attaques contre l’Etat français, les PME-PMI ou les entreprises considérées comme stratégiques demeurent en fait inconnues du grand public. Les victimes ou les établissements considérés rechignant la plupart du temps à communiquer publiquement sur leurs déboires ou leurs déconvenues informatiques, dés lors qu’elles parviennent même à en détecter la réalité ! Ce qui est déjà en soit une gageure dans la plupart des cas… Par conséquent, le nombre réel des attaques effectives reste encore très difficile à estimer dans les faits.

Selon vous, sur quels aspects reste-t-il encore à travailler pour améliorer la cybersécurité des PME ?

Ils sont nombreux et il serait trop long de tous les énumérer. Mais dans cette perspective, Manuel Valls a assuré la promotion de la "French Tech"en rappelant l’appel à projets du programme d’investissements d’avenir doté de 10 millions d’euros, pour élaborer des technologies garantissant la protection de la vie privée et des données numériques. Un discours apprécié par les représentants de PME en lien avec la cybersécurité, et qui attendent naturellement des actes et des commandes fermes désormais. Un autre versant plus économique cette fois, intéressant tout particulièrement et très directement le business des PME innovantes. On retiendra dans cette occurrence que "dès 2016, tout produit ou service embarquant ou s’appuyant sur un système d’information qui souhaite répondre à un appel d’offres, des projets publics ou accéder à des fonds public, bénéficiera d’un facteur de bonification s’il est accompagné d’une analyse de risque en matière de cybersécurité".

Enfin dernier volet dans l’exposition de cette nouvelle doctrine bénéficiant directement à la protection, mais aussi au business des PME françaises ne l’oublions pas : la coopération européenne et internationale. "Le numérique ne connaît pas de frontières", a rappelé le premier ministre Manuel Valls. A ces yeux, la France doit être le moteur d’une autonomie stratégique numérique européenne et "elle jouera un rôle actif" a-t-il assuré. Appelant de surcroit à la vigilance sur la discussion de la directive "NIS" relative à la sécurité des systèmes d’information. Vigilance plus que jamais nécessaire au regard de la récente décision de la Cour de Justice de l’Union européenne de suspendre le "Safe Harbor", qui nécessite de garantir les équilibres entre les différents pays. Au final, cette nouvelle "stratégie nationale pour la sécurité du numérique" des entreprises - et notamment des PME française - va prendre tout son essor dans les prochaines années avec l’ANSSI, qui sera la cheville ouvrière de ce plan disposant désormais d’un cadre d’intervention légal renforcé, de financements, et d’informations élargies.

Après le volet "internet" de la loi sur le renseignement, ces nouvelles mesures ne sont-elles pas un nouveau pas vers la mise sous tutelle d'Internet par l'Etat ?

La sécurité reste une préoccupation majeure pour l’Etat Français. Une longue expérience des attaques de hackers depuis des décennies, a permis à ses services de se défendre très efficacement en gérant parfaitement le niveau de sécurité des institutions et des secteurs stratégiques clefs et de la filière industrielle. Mais la menace ne cesse de croître d’année en année, et notamment djihadiste, comme chacun peut s’en rendre compte. La confidentialité et la protection des données occupent donc une place de premier choix, dans le registre des priorités stratégiques. Ce qui explique aussi que l’Etat accentue son effort de"propagande", comme il a l’a déjà entrepris récemment, avec l'exemple de la plateforme mise en ligne : "stop-djihadisme.gouv.fr".

La stratégie française est  "un bon équilibre entre la prise en compte de la sécurité et dynamisme économique" et un "bon équilibre entre sécurité et liberté", a jugé ce vendredi Manuel Valls. Fustigeant en résumé la position caricaturale de ceux qui opposent le numérique, qui devrait être le monde de la liberté absolue, à la sécurité, qui se traduirait nécessairement par une restriction dangereuse des libertés fondamentales. Une position déjà observée selon lui lors du débat sur "la loi sur le renseignement" qui avait fait naître il y a quelques mois, des craintes citoyennes légitimes sur les libertés individuelles. Si cette loi dote les services de renseignement de moyens de surveillance augmentés des citoyens, le gouvernement "reste favorable" à ce que les acteurs privés "continuent de bénéficier pleinement  de toutes les ressources qu'offre la cryptologie légale", a d'ailleurs indiqué dans la foulée le premier ministre français

"Le vrai message c'est que la France est prête. Ce qui ne veut pas dire qu'il n'y aura pas d'attaques, mais la France est en ordre de bataille pour répondre à cette menace qui évolue très vite", a-t-on expliqué à l’ANSSI (l'Agence nationale de la sécurité des systèmes d'information), un service dépendant de Matignon qui a élaboré cette stratégie avec le SGDSN (Secrétariat général à la Défense et à la Sécurité nationale). C'est la coopération de l'ensemble des acteurs du secteur qui permettra d'aboutir à une protection cyber optimum, selon cette même administration. Et non une forme de "bouclier cyber" généralisé - ou institué par tel ou tel service spécialisé de l'Etat - qui n’aurait technologiquement aucun sens dans le contexte économique mondialisé actuel. 

Nous pourrions ainsi résumer les choses en conclusion : il existe une tension naturelle et permanente entre le besoin de liberté des usagers du web et des supports électroniques, pour produire de l'innovation et de la nouveauté, et l'obligation de contrôle par les autorités des flux et des architectures réseaux ou peuvent éventuellement se glisser les agresseurs de tout poil. Et cela à toutes les échelles de regard : Mafias, Etats faillis ou concurrents, groupes radicaux, pirates, individus malveillants, etc... La contradiction n'est qu'apparente entre ce besoin d'usage libre et cette nécessitée absolue de sécurisation générale des architectures numériques. Elle reste évidemment prégnante pour les chantres de "la liberté pour tous", qui ne veulent pas admettre que cela pose de fait, un problème majeur en matière de Sécurité Nationale mais aussi pour l'exercice de la souveraineté des Etats modernes. 

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !