Cybersécurité : le Cigref appelle l’État à l’aide… notamment contre les éditeurs

Le Cigref s’inquiète des cybermenaces. Il était temps, diront certains, alors que l’on compte plus de 80 attaques de ransomwares connues en France depuis le début de l’année… dont un quart pour ce seul mois de novembre, qui n’est pas même terminé. Et les grands ne manquent pas (ne leur déplaise parfois) : CMA-CGM, Elior, Essilor, Gefco, MMA, MOM, Newrest, Scutum, Siplec, Sopra Steria, Spie, Ubisoft, Umanis, etc. Alors pour le Cigref, « cette situation n’est plus acceptable », la menace « pour l’économie » est devenue trop importante.

Parce qu’en fait, pour le Cigref, la cybersécurité est toujours vue comme un coût, au détriment du reste : « des ressources humaines, techniques et financières croissantes sont engagées par les entreprises pour assurer la sécurité de leurs systèmes numériques, au détriment de leur capacité d’innovation et de leur compétitivité ». Ceux qui essaient de vendre la cybersécurité comme un « enabler » depuis des années l’auront bien compris : le message n’est pas passé.

Puisque ces coûts sont insupportables, c’est donc aux États d’intervenir. Pas question de fâcher le Premier ministre, au cabinet duquel est rattachée l’Agence nationale de la sécurité des systèmes d’information (Anssi) : « l’État français consent déjà des efforts substantiels face à la cybermenace, notamment à travers l’action de l’Anssi », justement. Le souci ? « L’insuffisance des réponses de la communauté internationale ».

Difficile toutefois de reprocher à Europol et à l’EC3 de ne pas en faire assez. Mais leurs efforts se heurtent généralement à la mauvaise volonté de certains pays, dont sont issus certains groupes malveillants bien connus.

Mais le Cigref ne s’arrête pas là. Pour lui, les « fournisseurs de systèmes numériques » ont aussi une responsabilité dans le coût de la cybersécurité : « les pratiques généralement constatées, notamment chez les éditeurs de logiciels, sont insuffisantes, et doivent être régulées pour renforcer la sécurité globale des systèmes numériques ».

« Les pratiques généralement constatées, notamment chez les éditeurs de logiciels, sont insuffisantes, et doivent être régulées pour renforcer la sécurité globale des systèmes numériques. »

D’une certaine façon, cette lettre était annoncée, en filigrane, il y a un mois, alors que le Cigref fêtait ses 50 ans. Le premier message de la lettre adressée à Jean Castex était clairement énoncé par Bernard Duverneuil, président du Cigrefl : « nous lançons un cri d’alarme auprès de notre écosystème, auprès des pouvoirs publics, il en va, là encore, de notre économie. Les entreprises en France et en Europe ont besoin d’aide, ont besoin de se doter de moyens de sécurité défensifs. Les plus grands groupes ont pu se doter de moyens avancés, des SOC, des CERT ; mais ceux-ci resteront toujours insuffisants par rapport à la menace, car l’avantage est toujours à l’attaquant. Et qu’en est-il des entreprises plus petites, les moins armées, les moins matures, les plus vulnérables ? »

L’appel à l’État ? Même chose : « c’est aussi à l’État de garantir la sécurité. Les entreprises ont besoin d’une agence comme l’ANSSI qui fait un travail formidable, d’un cadre juridique renforcé et d’une police avec des moyens adaptés contre cette délinquance mondiale, ou encore d’une diplomatie mobilisée », expliquait le patron du Cigref le mois dernier.

Les « pratiques » des éditeurs de logiciels ? L’obsolescence programmée, mais aussi ce qu’il appelle la monétisation de l’obsolescence planifiée, est l’un des chevaux de bataille du président du Cigref, notamment avec la vente des extensions de durée de support. En filigrane, on est tenté de voir là le reproche adressé à un Microsoft et son Windows 7, mis définitivement à la retraite début 2020. Et duquel certaines entreprises n’ont toujours pas migré, bien que le temps n’ait pas manqué pour cela.

En conclusion de sa lettre, le Cigref se dit « pleinement engagé pour participer, à son niveau, à l’effort nécessaire et présenter ses propositions de renforcement de la sécurité numérique de la collectivité nationale et de son économie ».
Mais celles-ci sont absentes du communiqué de presse.

Commencent-elles par l’application rapide et minutieuse des correctifs disponibles pour leurs équipements, ou encore, par une véritable prise en compte du sujet au plus haut de la hiérarchie, avec soutien aux équipes chargées de la sécurité et écoute de leurs besoins et conseils, formation des utilisateurs, transparence et partage de renseignement, etc. ?
Les onze premiers mois de l’année ne l’ont, jusqu’ici, guère suggéré.