Les entreprises françaises d’infrastructure vitale sont-elles bien protégées face aux risques de cyberattaques ? Le Livre blanc sur la Défense et la sécurité nationale, remis lundi 29 avril 2013 au président de la République, ne répond pas à la question. Mais face à l’accroissement des menaces et des enjeux pour l’économie nationale, il fait deux recommandations visant à améliorer leur niveau de protection.
La première veut les contraindre à procéder à des audits réguliers de cybersécurité. Ces audits, réalisés par des prestataires agréés par l’ANSII (Agence nationale de sécurité des systèmes d’information), visent à détecter les failles de cybersécurité et à les combler. Trois prestataires de services de cybersécurités sont déjà agréés par l’ANSII dans le cadre d’une opération pilote qui devrait durer jusqu’en 2014: Amossys (Rennes), Hervé Schauer Consulting (Levallois) et Sogeti (Issy-les-Moulineaux). "Cet agrément fonctionne aujourd’hui comme un simple label commercial, note Edouard Jeanson, directeur de l’activité sécurité de l’information chez Sogeti, filiale de Capgemini. Demain, il sera obligatoire pour les audits exigés par la règlementation."
L’autre recommandation veut obliger ces entreprises à notifier à l’ANSII toutes les cyberattaques dont elles sont victimes. "L’intérêt de cette disposition est de pouvoir transmettre aux autres entreprises la signature de l’attaque afin qu’elles puissent s’en protéger avant qu’elles ne soient à leur tour attaquées, explique Edouard Jeanson. Aujourd’hui, il faut attendre un an ou un an et demi pour savoir ce qui s’est passé."
Les entreprises d’infrastructure vitale désignent toutes celles dont la continuité de service est essentielle au fonctionnement de l’économie du pays. La France en compte environ 2500 dans des différents domaines : transports, énergie, eau, télécoms, banques, hôpitaux, etc.
Les risques du cyberespace
Signe de l’importance accrue accordée par ce Livre blanc à la cybersécurité : les risques du cyberespace sont présentés comme la deuxième menace pour la sécurité nationale, après le terrorisme, alors qu’ils étaient en troisième place dans le Livre blanc précédent de 2008.
Le Livre blanc propose de continuer à renforcer les moyens de l’ANSII, à développer les liens entre les entités gouvernementales et l’industrie, à inclure des clauses de cybersécurité dans les marchés publics, ou encore à sensibiliser les étudiants sur le sujet grâce à un module spécifique dans leur cursus scolaire. Il reprend par ailleurs la recommandation polémique du rapport du sénateur Bockel voulant interdire les routeurs chinois (en l’occurrence ceux du constructeur Huawei) dans le cœur des réseaux télécoms. Non pas qu’ils soient suspectés d’espionnage au profit de l’Etat chinois comme le laisser entendre le rapport Bockel. Mais parce qu’ils sont jugés mal sécurisés.
Pour ses recommandations concernant les entreprises d’infrastructure vitale, ce Livre blanc rejoint la proposition de directive européenne en matière de cybersécurité. Il faudra attendra sa transposition dans la loi de programmation militaire pour le volet sécurité nationale. Mais pour ce qui concerne les entreprises, il faudra attendre une loi spécifique qui pourrait se concrétiser d’ici deux ans, selon Edouard Jeanson.
Ridha Loukil
Réagir