Par Jean-Marc Grémy,
Président du CLUSIF
Les initiatives de l’État dans le domaine de la cybersécurité ne se comptent plus, les règlementations tant attendues par le RSSI pour faire avancer la sécurité de son SI et maintenant la cybersécurité, sont au rendez-vous des enjeux.
Les normes et standards tant internationaux que sectoriels sont légion. Que demander de plus ?
Sans doute plus de coordination entre les actions et les propositions nationales, avoir une meilleure lecture des intentions et des capacités de notre cyberEurope en la matière ?
Quand bien même ces vœux seraient exaucés, nous n’aurons pas démontré notre capacité collective à protéger la plus grosse partie de notre tissu économique, nos ETI/PME et nos TPE. Elles détiennent des trésors de richesse, des savoir-faire et elles sont souvent un maillon de la chaine industrielle et économique des grandes entreprises.
Les cyber-attaques, les cyber-arnaques qu’elles soient au profit de groupes criminels organisés, d’État-nation, de cybercriminels isolés et quelles que soient leurs motivations perçues ou réelles, sont encore trop nombreuses. Nous pourrions dire même de plus en plus nombreuses et d’une virulence jamais connue. Cette menace est là, il nous faut vivre avec.
Nous avons compris que l’acte cybermalveillant n’est plus la finalité de l’attaquant.
Bien évidemment, nous mettrons de côté quelques cas. La finalité est tout autre. Financière directe et indirecte, captation d’information, désinformation, sabotage, etc. La liste est beaucoup trop longue.
Comment nos ETI/PME et TPE perçoivent-elles cela ? Sont-elles conscientes de ce qui se cache derrière une attaque informatique d’apparence anodine ? Non, bien évidemment. Et pour quelle raison ? Le non-accès à l’information pertinente existante, l’absence de prise en compte de leur existence et de leurs contraintes par leurs donneurs d’ordre : les grandes entreprises et la commande publique.
Sans remettre en cause le travail de l’État en la matière et celui des associations professionnelles qui fédèrent ce tissu économique, il nous reste encore du travail, des actions de proximité afin d’éveiller les consciences des dirigeants, de leur management intermédiaire et des collaborateurs. Il nous faut préserver ces entreprises, leurs emplois et savoir-faire, parce que c’est bien de cela dont il s’agit. Mais non à marche forcée, en les intégrant dans une dynamique collaborative.
L’industrie de la cybersécurité a une responsabilité en la matière :
proposer des produits et des services adaptés aux contextes des ETI/PME et TPE. Les industriels proposent, mais les intégrateurs et opérateurs de services disposent-ils de la volonté de créer des services adaptés aux attentes et contraintes financières, entre autres, de ces profils d’entreprises ?
Sans aucun doute dans une grande majorité. Mais il ne s’agit pas ici de rouvrir ce débat, les entreprises sont souveraines dans leur volonté de proposer telle ou telle solution aux segments de marché qu’elles adressent.
Notre organisation professionnelle, le CLUSIF, qui œuvre depuis plus de 30 ans a, elle aussi, une responsabilité dans cette prise et cet éveil des consciences. Dans notre sillage, nous avons induit des initiatives dans le monde associatif, suscité des vocations à la création d’autres associations ou l’éclosion de commission sécurité d’associations existantes. Mais quel bilan pouvons-nous tirer à l’horizon 2020 ?
L’organisation de conférences, des débats, des groupes de réflexion, des dossiers techniques, des méthodes, la liste de notre héritage collectif est longue. Et ne cesse de croître avec le nombre d’association qui œuvre dans le domaine ! Mais était-ce bien cela notre objectif ? Je me pose la question.
Notre autorité nationale en la matière, l’ANSSI, avec sa dynamique de communication tant des enjeux, des menaces que des bonnes pratiques est sortie de cette forme d’anonymat des années 2000. Les interventions publiques de plus en plus nombreuses de ses agents et de son directeur général donnent à la matière cyber une réalité, elle devient tangible pour un grand nombre. Mais nous constatons quotidiennement que le message bienveillant, de bon sens et quelquefois nécessairement autoritaire n’est pas perçu par tous.
Fédérer au-delà du travail de l’ANSSI, les associations et les territoires
L’État ne peut pas tout et les associations prennent le relais sur le terrain. Des initiatives existent et ont démontré leur efficacité :
- La notoriété, car très pertinente, de la bande dessinée réalisée par du financement participatif et des partenariats avec des entreprises privées : « les As du Web » de l’association ISSA France ;
- Les travaux communs du CLUSIF avec le Club EBIOS dans l’évolution de la méthode éponyme ;
- L’exercice de cyber-crise réalisé tous les deux ans par le CLUSIF en partenariat avec des services de l’État, dont la collaboration de l’ANSSI, et les CLUSIR ;
- Le réseau régional du CLUSIF en région, y compris l’outre-mer, les associations CLUSIR, dont la pertinence de l’action régionale, n’est plus à démontrer.
L’union et la cohésion des réflexions feront la force, des actions communes et croisées doivent être encouragées. C’est le rôle de l’État, ne lui retirons pas le rôle régalien qu’est le sien, restons à notre place, mais jouons notre rôle, et faisons-le savoir.
Si le CLUSIF, le CESIN, le CIGREF ont l’habitude de se retrouver dans des collèges utilisateurs (Cybermalveillance.gouv.fr, Label France Cyber Security, etc.), nos associations ont un rôle collectif à jouer. Certes chacune a ses particularités, son ADN, mais ne dit-on pas que l’union fait la force ?
Ne devrions-nous pas créer une fédération nationale des associations ou des commissions cyber ?
Créer une dynamique qui rassemblerait toutes les forces vives, celles de l’État, des associations d’industriels du secteur, des associations des sociétés de services, des associations d’utilisateurs ?
Qui rassemblerait au-delà de la profession des associations de consommateurs, de protection des droits des victimes ? Non pas créer une nième association, mais bien le creuset de ce qui permettra demain de ne laisser personne sur la route de la cybersécurité, d’avoir une agora dans laquelle chacun peut se faire entendre, échanger, débattre et assurer une diffusion en profondeur dans nos écosystèmes de cette cybersécurité qui n’est plus la chasse gardée de spécialistes, mais bien le problème de tous.
