Accueil Cyber : il faut maintenant mettre un terme à la loi de...

Cyber : il faut maintenant mettre un terme à la loi de la jungle !

 

Jean-Claude LAROCHE,
Vice-président du Cigref, Directeur des Systèmes d’Information d’ENEDIS

 

Le contexte actuel de multiplication des cyberattaques en nombre et en intensité met en danger toute la société et tous ses acteurs. Le constat a déjà été dressé maintes fois : les cybercriminels se professionnalisent et s’industrialisent ; ils bénéficient d’une forme d’impunité qui les conduit à attaquer tous les types de cibles, et de plus en plus souvent à en tirer un profit financier.

 

On pourrait se croire revenu au temps des diligences, à la merci des bandits de grands chemins ; au-delà de l’image, tout cela n’est vraiment pas digne de civilisations modernes qui ont besoin du numérique pour des activités de plus en plus vitales.
Il est plus que temps de mettre un terme à cette situation.

Lorsque la piraterie s’est développée le long des côtes somaliennes et à l’ouverture du golfe d’Aden dans les années 2000, la communauté internationale a su réagir avec une extrême fermeté, en mettant en œuvre des moyens militaires et civils considérables afin de rétablir la liberté de navigation et faire cesser les exactions sur les navires de commerce. Cette même communauté internationale semble aujourd’hui impuissante face à la cybercriminalité qui se déploie avec une intensité sans précédent dans le monde entier.

Bien que les entreprises françaises et européennes consacrent des sommes très importantes à la cybersécurité, il faut bien admettre que livrées à elles-mêmes, elles ne disposeront jamais d’une protection suffisante : dans la bataille entre l’agresseur et l’agressé, c’est celui qui choisit son arme, qui décide du moment et de l’endroit où il va frapper, qui aura toujours l’avantage. C’est une“loi” d’airain, archaïque, qui conduit au cercle vicieux de la violence et dont la civilisation seule, avec le droit, avec son ordre juridique, ne peut remédier.

L’intervention des Etats doit donc se faire plus forte, plus audible, plus concrète, et ce dans des délais brefs car pour beaucoup d’acteurs la tentation est de plus en plus forte de se laisser séduire par le chant des sirènes qui vante le hackback, pratique qui prend de l’ampleur notamment aux Etats-Unis.

« Il est indispensable que les pouvoirs publics forment des cohortes de spécialistes capables de reconstruire des cœurs de systèmes d’information, par exemple après une attaque par rançongiciel.

Ces spécialistes manquent , l’offre des sociétés spécialisées est aujourd’hui insuffisante. »  

L’Appel de Paris, de 2018, est une base de discussion politique et diplomatique ; le Cigref l’a soutenu et salue le fait que la France ait pu rassembler autant d’acteurs de différents secteurs et continents, pour faire un pas vers un droit international du cyberespace.

Mais il ne s’agit que d’un pas… et il paraît indispensable d’engager des actions plus fortes, en rupture, pour aller plus loin.

De fait, l’attitude de l’Etat, en France, peut aller plus loin. Car, d’un côté, l’ANSSI mène un important travail de sensibilisation pour renforcer la résilience des organisations, mais de l’autre, l’agence ne dispose de ressources que pour participer à la protection d’un nombre restreint d’organismes, OIV et OSE, et encore de manière partielle, malgré les 104 attaques par rançongiciels qu’elle a pu traiter depuis janvier.

Créer une communauté du renseignement

Dans les actions en rupture, il nous paraît indispensable par exemple de créer une sorte de communauté du renseignement qui dépasse les services de l’Etat et englobe tous ceux qui pourraient avoir à en connaître sur l’état de la menace au sein des organismes d’importance vitale et des entreprises de services essentiels, cela afin de pouvoir anticiper les coups autant qu’il est possible. Le partage d’information reste notoirement insuffisant.

Autre point, la plateforme “cybermalveillance” a fait face à une explosion de demandes pendant la crise Covid, les gendarmes s’organisent, mais paradoxalement par manque de moyens, la réserve citoyenne de la cyberdéfense est au point mort depuis des mois, alors qu’elle est constituée de bénévoles volontaires qui rongent leur frein à ne pouvoir agir pour le pays.

Il est également indispensable que les pouvoirs publics forment des cohortes de spécialistes capables de reconstruire des cœurs de systèmes d’information, par exemple après une attaque par rançongiciel. Tout le monde constate que ces spécialistes manquent et que l’offre des sociétés spécialisées est aujourd’hui insuffisante, mais on ne constate pas d’action de remédiation significative dans ce domaine.

Ainsi le nombre de personnels dédié à la cyberdéfense est encore largement insuffisant par rapport à l’impact que les cyberattaques peuvent avoir sur la société toute entière. Et les grands utilisateurs de solutions informatiques comme les adhérents du Cigref ne peuvent que déplorer de se retrouver dans l’obligation de se doter de cet arsenal de défense, et avec difficulté !

Malgré les tensions croissantes dans la communauté internationale, notamment dans le cyberespace, les Etats doivent agir et notre pays doit montrer la voie. Si nous souhaitons tous développer les capacités numériques de nos entreprises et nos services publics dans un environnement serein, il est plus que nécessaire de définir des règles et d’agir concrètement pour les faire respecter. Aucun autre secteur d’activité que celui du numérique n’accepterait de se développer dans un tel contexte d’insécurité juridique, de faiblesse du droit applicable, montrant l’impuissance des Etats et la lenteur de la communauté internationale face à la cybermenace.

 

Nous en appelons donc à l’action, vite !