Intervention de Joël Thiery

Les chambres de commerce et de l'industrie sont engagées depuis longtemps dans la bataille pour la cybersécurité. Mon intervention consistera en un retour d'expérience sur la base de notre participation active notamment au « Mois européen de la cybersécurité », et à la plateforme cybermalveillance.gouv.fr, groupement d'intérêt public dont CCI France fait partie des membres fondateurs. Je me baserai aussi sur les enquêtes réalisées par la CCI Bretagne et sur la consultation organisée par OpinionWay pour CCI France, La Tribune et LCI.

Nous partageons votre constat : la cybersécurité est devenue une urgence absolue. En 2020, nous avons publié une étude intitulée : Pérenniser l'entreprise face au risque cyber : de la cybersécurité à la cyberrésilience. Selon le rapport d'activité du groupement d'intérêt public Action contre la cybermalveillance (GIP Acyma) de 2019, les demandes d'assistance ont bondi de 200 % en un an. La croissance de la cybercriminalité est exponentielle et les méthodes toujours plus créatives.

Le développement du télétravail ou de l'internet des objets ne fait qu'accroître l'exposition au risque cyber. Les attaques massives sur les TPE-PME ont des conséquences économiques et sociales de plus en plus grandes. Ces attaques ciblent le plus grand nombre, moins pour s'emparer de leurs biens que contrôler les noeuds internet et rendre les futures attaques plus nocives. Cela pose la question de notre stratégie pour y faire face. Les entreprises ont-elles pris conscience du risque ? L'État et l'écosystème de la cybersécurité sont-ils suffisamment armés ?

Nos enquêtes montrent que les dirigeants ne sont pas assez sensibilisés à ces enjeux. Cela accroît l'exposition des petites entreprises au risque cyber. La cybersécurité est souvent considérée comme une priorité de second rang. Beaucoup d'entreprises, y compris des start-up, sont dans la méconnaissance, voire le déni, quant à l'importance du risque. Les dispositifs réglementaires et les outils technologiques à disposition pour sécuriser les entreprises sont souvent perçus comme des contraintes ou des technologies opaques et inaccessibles aux entreprises. Les risques augmentent avec la numérisation de l'économie : 41 % des dirigeants de PME ont peur qu'un virus infecte leur ordinateur, mais plus des trois quarts n'ont pas déployé de mesures de précaution... L'exposition au risque est accrue par l'atomisation des fournisseurs de solutions et des intervenants, le développement du shadow IT dans les TPE-PME, la méfiance des dirigeants envers les offreurs de solutions, notamment s'agissant du cloud, souvent perçu comme synonyme d'une perte de contrôle sur les données. Beaucoup de PME n'ont pas de stratégie spécifique de cyberprotection. D'autres, au contraire, ont une approche réactive et cherchent à se mettre à niveau, en utilisant les certifications et les diagnostics réguliers diffusés par l'Association française de normalisation (Afnor), notamment la norme ISO 27001. La CCI a créé la plateforme Digipilote pour les aider.

Un quart seulement des dirigeants connaît l'existence du site cybermalveillance.gouv.fr. On compte 500 formations initiales et continues en cybersécurité, dont 150 dispensées par des établissements d'enseignement supérieur, à l'image de l'Imerir, une école supérieure préparant aux métiers de la robotique, de l'intelligence artificielle et de la cybersécurité, qui dépend de la CCI de Perpignan. Toutefois 91 % des professionnels constatent la pénurie des profils qualifiés et seuls 44 % des informaticiens considèrent avoir les compétences nécessaires en cybersécurité. Nous préconisons d'accroître la collaboration entre le public et le privé. Nous encourageons aussi les entreprises à renforcer le pilotage de leur cybersécurité et à entrer dans une dynamique de cyberrésilience, de sécurité augmentée. Il faut aussi travailler avec les assureurs pour développer une couverture adéquate. Plus globalement, nous voulons engager une démarche de cyberrésilience pour dépasser la cybersécurité, afin de créer davantage de valeur et consolider notre marché.