Présidentielles 2022 : les 10 propositions du CESIN pour la cybersécurité

La France se retrouve « en position de colonie numérique de grandes puissances étrangères ». Si des initiatives en matière de cybersécurité ont vu le jour en France et au niveau européen, il reste « beaucoup de chemin à parcourir pour que le numérique soit synonyme d’indépendance et de sécurité afin qu’il apporte toute sa valeur à notre société ».

Voici les 10 propositions en matière de cybersécurité :  le CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, présidé par Mylène Jarossay, CISO du groupe LVMH, élabore 10 propositions pour la cybersécurité pour les Présidentielles 2022.

Le CESIN se concentre notamment sur les entreprises, l’éducation des jeunes pour préparer le futur de la cybersécurité.

Proposition n°1 – Créer un Ministère du Numérique

Le numérique en France représente 6% du PIB, 150Md de dépenses et environ 1 million d’emplois salariés (1). Au-delà des chiffres, c’est une place tellement stratégique dans notre société qu’elle mérite absolument qu’un ministère de plein droit soit créé, qui s’appuierait sur un secrétariat d’État dédié à la cybersécurité.

Proposition n° 2 – Promouvoir un véritable numérique de confiance européen

Il s’agit d’aider au développement d’offres européennes, en favorisant des solutions et services de grande diffusion, accessibles au plus grand nombre, plutôt que pour des usages n’impliquant que des données sensibles qui restent des sujets de niche. L’indépendance ne se gagne que si le périmètre couvert est large et vise des usages quotidiens et massifs. Cela vaut tant pour les offres digitales au sens large que pour les solutions de cybersécurité.

L’objectif est double : nous rendre moins dépendants de solutions étrangères et assurer d’une manière générale une protection de nos données vis-à-vis de lois extraterritoriales souvent équivalentes à des permis d’espionner. Car les géants du numériques s’enrichissent avec des souscriptions et des licences, et captent intensivement nos données qui nourrissent leurs industries.

Proposition n°3 – Favoriser l’innovation

De nombreuses initiatives sont prises pour financer l’innovation. Le tissu de startups dans le monde numérique, et particulièrement en cybersécurité, est éloquent. Cependant rien n’est fait ou presque pour que ces solutions émergent vraiment et gagnent par rapport à la concurrence étrangère. Dans le numérique tout le monde a sa chance de devenir le géant de demain avec de l’audace et du soutien.

Il faut inventer les mécanismes qui poussent des initiatives sur des terrains stratégiques, et qui favorisent les solutions innovantes françaises et européennes pour les donneurs d’ordre. Il faut aussi penser l’après startup pour que les licornes françaises ne soient pas quasi automatiquement rachetées par des entreprises étrangères.

Proposition n°4 – En finir avec cet afflux de logiciels vulnérables

La généralisation du numérique a mécaniquement augmenté le nombre de logiciels que nous utilisons au quotidien. Or nos entreprises font face à un nombre exponentiel de vulnérabilités à traiter, soit parce que les éditeurs ont produit vite et mal, des applications comportant des failles logicielles, et ces cas sont en nette augmentation ces dernières années, soit parce qu’un attaquant a réussi à s’introduire chez un éditeur et à insérer un code malveillant au sein des logiciels produits. Cette escalade n’est plus supportable car c’est aux clients de ces éditeurs de faire ensuite les efforts pour compenser ce niveau de sécurité déplorable.

Les clients doivent installer des correctifs pour supprimer ces failles de sécurité, ce qui représente un coût élevé de maintien en condition de sécurité. Ils doivent de surcroit compenser les défauts de ces briques logicielles par des mesures additionnelles coûteuses. Et comme si cela ne suffisait pas, ils doivent aussi assumer les conséquences, si ces vulnérabilités sont exploitées par des acteurs malveillants pour mener des cyberattaques.

Il faut obliger les éditeurs à prendre des engagements formels sur la sécurité intégrée dans les logiciels qu’ils produisent. Cela passe par des labels, des organismes de certification tiers adaptés aux nouvelles chaînes de développement, et par des lois qui introduisent un niveau de responsabilité de l’éditeur, comme c’est le cas pour des produits matériels.

Proposition n°5 – Créer un guichet unique en cybersécurité pour simplifier les parcours

Au fil des ans et des problématiques à traiter, différentes autorités et points d’entrée en matière de cybersécurité se sont développés. De nombreuses initiatives ont été menées à l’échelle nationale ou régionale pour aider les entreprises et les particuliers. Toutes partent d’une bonne intention, mais cette offre est devenue complexe à utiliser. Le dirigeant d’entreprise ne sait pas à qui s’adresser pour comprendre le sujet cyber, pour se former, pour vérifier un label ou une certification ou pour se faire aider et déposer une plainte lorsqu’il est confronté à une cyberattaque. Et ce n’est pas plus simple pour les particuliers.

La création d’un guichet unique national de la cybersécurité devrait permettre d’améliorer la lisibilité des dispositifs cyber et d’y recourir facilement et avec une meilleure efficacité. Par exemple, il est tout à fait inapproprié, voire incongru, d’aller physiquement dans un commissariat de quartier pour déposer une plainte cyber alors que l’entreprise est dans la tourmente d’une cyberattaque.