Intervention de Rémi Cardon

Mesdames et Messieurs, Monsieur le Président, Mes cher(e)s collègues,

Le 18 février, nous commencions nos travaux sur un thème devenu, hélas pour nos entreprises, à la fois quotidien et de plus en plus préoccupant pour la stabilité de notre économie. Après 47 personnes auditionnées, dont de nombreux chefs d'entreprise, deux table-rondes et des déplacements de terrain, auprès des « cybergendarmes » et des « cyberpoliciers », nous vous présentons nos conclusions.

La cybercriminalité visant les entreprises se banalise pour quatre motifs :

1. La numérisation de l'économie, accélérée avec le confinement lié au développement du télétravail et au déploiement de la fibre, augmente la surface d'exposition au risque des entreprises ;

2. La professionnalisation de la cybercriminalité est facilitée par sa « plateformisation », son industrialisation, et le développement des cryptomonnaies ;

3. La prévention et la répression sont difficiles et nécessitent un renforcement de la coopération internationale ;

4. Avec l'intégration du cyberespace comme nouveau vecteur de la conflictualité géopolitique, les entreprises sont soit les cibles soit les victimes collatérales des attaques.

Quelques chiffres donnent le vertige face à l'ampleur du phénomène :

- 6 000 milliards de dollars par an à partir de 2021, deux fois plus qu'en 2015 (3 000 milliards). Tel est le coût, pour les entreprises, de la cybercriminalité au niveau mondial ;

- Si le cyberrisque était un pays, il serait la 3ème économie mondiale derrière les États-Unis et la Chine ;

- 43 % des PME françaises ont constaté un incident de cybercriminalité en France en 2020 ;

- Le coût d'une cyberattaque varie entre plusieurs milliers et plusieurs millions d'euros.

Le cyberespace est donc saturé par de telles attaques.

Elles ont un impact croissant sur l'économie réelle, comme en témoignent celles, aux États-Unis, contre le Colonial Pipeline ou le géant de l'agroalimentaire JBS. Et les attaques médiatisées ne sont que la face émergée de l'iceberg !

Or, l'économie numérique, et tout particulièrement le e-commerce, ne peuvent se développer qu'en se fondant sur la confiance du public et des consommateurs.

Les entreprises, quelle que soit leur taille, sont incitées à numériser leurs processus de production, à développer le e-commerce, à placer leurs salariés en télétravail. Les entreprises les plus petites pensent être à l'abri des cyberattaques. C'est une illusion, parfois mortelle : des entreprises sont exposées à un risque de fermeture après une cyberattaque. Les coûts indirects se révèlent parfois avec un fort délai de latence.

Le président de la Réserve fédérale des États-Unis, Jerome Powell considère que les cyberattaques contre les entreprises constituent le risque actuel le plus important pour l'économie américaine, plus redoutable encore qu'une crise financière similaire à celle de 2008. Face à cette internationalisation du cybercrime, le Président de la République française a présenté, le 12 novembre 2021, au Forum sur la gouvernance d'Internet, un « appel de Paris » pour la sécurité du cyberespace.

La cybersécurité était, en 2018, loin d'être considérée comme « l'affaire de tous », comme le déplorait d'ailleurs CCI France. De trop nombreuses entreprises, notamment les PME et TPE, ne se sentaient pas concernées. Le sujet semblait technique, externalisable, solutionnable par le simple achat d'un pare-feu ! Or, si le dirigeant comme les salariés ne s'en saisissent pas, la cybersécurité ne s'implante pas, ne se diffuse pas.

Cependant, un basculement s'est opéré au printemps 2020. La surface d'exposition aux cyberattaques a été nettement augmentée avec plus de 8 millions de salariés en télétravail. Dans un premier temps, les entreprises ont même encouragé leurs salariés à utiliser leur propre équipement informatique. Cette situation a créé des brèches de sécurité. L'urgence était alors la continuité de l'activité davantage que la sécurité numérique. Les cybercriminels en ont profité : les attaques par phishing ont augmenté de 667 % entre le 1er et le 23 mars 2020.

Les dirigeants d'entreprise intègrent désormais ce risque de façon croissante mais inégale.

Face à la montée des failles de sécurité, leurs services informatiques tentent désormais d'imposer le concept Zero Trust, modèle de sécurité qui repose sur le principe qu'aucun utilisateur n'est totalement digne de confiance sur un réseau.

Les grandes entreprises intègrent d'autant plus ce risque que les investisseurs comme les grandes agences de notation intègrent le risque cyber dans leur notation financière. Un marché de la notation cyber s'est d'ailleurs développé. En outre, la notation ESG (environnement, société, gouvernance) comporte également une référence à la cybersécurité. Elle constitue une dimension essentielle de la gouvernance de l'entreprise mais également de la responsabilité sociétale des entreprises, sous l'angle de la protection contre le vol des données. La Plateforme RSE préconise même de créer une « responsabilité numérique des entreprises » (RNE).

Le niveau de cybersécurité des entreprises doit être rapidement et fortement augmenté avant l'arrivée de l'internet des objets (IoT), qui va étendre de façon exponentielle la surface d'exposition au cyberrisque. Il en est de même de l'ordinateur quantique, qui va démultiplier les capacités d'intrusion, ou encore de l'Intelligence Artificielle.

Le dispositif de cyberprotection publique privilégie, et c'est normal, les entreprises d'importance vitale.

Ces entreprises, qualifiées d'opérateurs d'importance vitale (OIV), dont le nombre exact et l'identité sont tenus secrets, sont protégées de manière satisfaisante à l'échelle européenne et nationale, par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). En revanche, les TPE et PME, comme les ETI qui ne sont pas identifiées comme d'importance vitale, ne sont pas assez bien cyberprotégées par ce dispositif public.

La cybersécurité publique se caractérise par un équilibre entre centralité de la compétence technique et proximité, avec la possibilité de déposer plainte dans les gendarmeries et commissariats, dont les personnels sont progressivement formés.

Elle assure une répartition originale des compétences non en fonction de la localisation de l'infraction (critère territorial) mais en fonction de la famille de rançongiciel à traiter (critère fonctionnel). La taille de l'entreprise est neutre dans le traitement judiciaire de la cyberattaque.

Ce dispositif public comprend une capacité de projection de forces d'intervention sur le terrain à même de rassurer un dirigeant d'entreprise lequel, le plus souvent, ignore les compétences numériques de la Police nationale ou de la Gendarmerie.

La cybersécurité des entreprises repose sur le bon fonctionnement d'une triple coopération, afin de partager l'information à des fins de prévention comme de remédiation :

- coopération entre la police et la gendarmerie, qui se sont chacun dotés d'outils distincts,

- entre le secteur public et les acteurs privés,

- entre la France et ses partenaires européens, et même internationaux.

Toutefois, la justice reste démunie alors que le cybercrime s'est industrialisé.

Plusieurs conclusions peuvent être tirées de ce rapide tour d'horizon.

Première conclusion : la cybersécurité est difficilement accessible aux PME. Si les grandes entreprises sont mieux protégées, les PME sont plus vulnérables.

Les cybercriminels font des études de marché sur leurs cibles. Lorsque celles-ci ont atteint un niveau supérieur de protection, ils réorientent des attaques sophistiquées via leurs sous-traitants ou fournisseurs plus fragiles en termes de cybersécurité.

Je vais développer ce point et cet « effet domino » : face à la multiplication des cyberattaques, les grandes entreprises et les ETI ont pris des mesures de défense compliquant la tâche des cybercriminels. En particulier, les stratégies de sauvegarde et de reconstruction efficace des systèmes informatiques rendent le blocage des systèmes moins pertinent pour faire payer la rançon. Une meilleure cyberdéfense des grandes entreprises a eu comme contrepartie de détourner la cybercriminalité vers les plus petites entreprises plus vulnérables. Cette translation du risque continue cependant à affaiblir, par rétroaction, la cybersécurité des grandes entreprises. En effet, l'accès à distance au système d'information de l'entreprise augmente sa surface d'attaque en ouvrant de nouvelles portes. Les attaques ciblant la supply-chain utilisent le maillon faible qu'est le réseau interne d'un fournisseur ou d'un sous-traitant, moins bien sécurisé, pour s'introduire dans le système d'information de la grande entreprise. La cybersécurité est donc l'affaire de toute la chaine de valeur.

Deuxième conclusion : Le salarié est souvent le maillon faible de la cybersécurité, et donc parfois le « cheval de Troie ».

La cybersécurité est encore trop perçue comme une contrainte supplémentaire par les salariés. Le fonctionnement en silos du management d'un certain nombre d'entreprises ne favorise pas toujours ce travail d'équipe, puisqu'une collaboration minimaliste ne permet pas de diffuser de façon efficace une culture partagée. Cette dernière doit impliquer le dirigeant et tout le management. La cybersécurité suppose une hygiène numérique constante et des « gestes barrières » permanents de la part de chacun. L'augmentation du budget alloué aux outils n'est pas une réponse suffisante face à la multiplication des menaces de plus en plus sophistiquées. Chaque salarié dispose de la clé de la cybersécurité de son entreprise.

La pénurie d'expertise humaine en matière de cybersécurité est mondiale. Dès lors, ce handicap est particulièrement aggravé pour les TPE PME pour lesquelles la ressource humaine devient pratiquement inaccessible. Au déficit de compétences en cybersécurité s'ajoute le fait que les entreprises ne mesurent pas toujours à leur juste valeur l'intérêt de sécuriser l'information.

Troisième conclusion : pour accéder au cloud, les PME sont dans une situation inconfortable. Elles n'en maîtrisent pas techniquement les enjeux et souffrent d'une relation commerciale déséquilibrée. Certains fournisseurs déclinent même toute responsabilité en matière de disponibilité ou de fonctionnalité du service.

Malgré le principe de libre circulation des données, traduite par le règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018, et les lignes directrices du 29 mai 2019, le processus d'autorégulation du marché du cloud s'est interrompu en novembre 2019, faute d'accord sur la rédaction de codes de conduite. Il existe une asymétrie systémique entre grands fournisseurs mondiaux de services cloud et leurs utilisateurs.

Pour une PME, accéder au cloud s'apparente à conclure un contrat d'adhésion contenant des clauses parfois abusives.

Quatrième conclusion : la cybersécurité est une menace mais peut également constituer une opportunité économique. C'est un marché en plein développement.

L'écosystème français de la cybersécurité est en voie de consolidation. Le Gouvernement a affiché un objectif ambitieux de leadership de la France dans ce domaine.

La cybersécurité et la sécurité numérique réalisent en France 13 milliards d'euros de chiffre d'affaires. Ce secteur est en forte croissance ; il dégage 6,1 milliards d'euros de valeur ajoutée et emploie 67 000 personnes. Le marché mondial de la cybersécurité devrait représenter 150 milliards de dollars en 2023.

L'offre française de cybersécurité demeure très fragmentée avec une forte exposition à la concurrence mondiale. Notre pays comporte toutefois des leaders mondiaux. Il dispose d'atouts de premier plan pour pérenniser son avance technologique et économique, notamment dans trois domaines : l'Intelligence Artificielle et l'apprentissage automatique (ou machine learning), la cryptographie et la technologie post-quantique.

Associée jusqu'ici à l'idée de contraintes et de dépenses, la cybersécurité doit être considérée aujourd'hui par tous comme un atout compétitif et un investissement productif. Un comportement cybersécurisé devient d'ailleurs un critère de sélection pour les clients soucieux à l'idée de confier des données personnelles, voire sensibles, à une entreprise.

La stratégie de l'État vise à encourager le développement d'un écosystème de la cybersécurité.

La cybersécurité et la sécurité de l'Internet des Objets (IoT) est l'une des cinq priorités du contrat stratégique de la filière « industries de sécurité » du 29 janvier 2020. Il s'agit de « positionner l'industrie française comme leader mondial de la cybersécurité et de la sécurité de l'IoT ».

Le développement de l'excellence de la filière française de cybersécurité devrait se traduire par une politique publique d'achat de solutions de cybersécurité françaises. Ce n'est hélas pas le cas. L'achat de solutions étrangères non maîtrisées est susceptible de menacer la souveraineté de la France. Il manque une culture d'achat de produits français de cybersécurité.

Afin de fédérer la communauté de la cybersécurité et à développer des synergies entre ces différents acteurs, un cybercampus doit s'installer à l'automne 2021 à la Défense. Ce « lieu totem de la cybersécurité » doit rassembler les principaux acteurs nationaux, publics et privés.

Cinquième conclusion : par réalisme, le Gouvernement vient d'acter une impossible reconquête de la souveraineté numérique dans le cloud.

Ce marché devrait exploser en passant de 63 milliards d'euros en 2021 à 560 milliards en 2030. La maîtrise des données des entreprises est un enjeu de souveraineté. Socle incontournable du développement des entreprises, y compris des PME, il est difficile à la France de recouvrer sa souveraineté dans le cloud. Ce dernier est dominé actuellement par trois acteurs américains qui possèdent 70 % de parts de marché.

La volonté de retrouver la souveraineté des données est régulièrement évoquée en France depuis 2010. Après l'échec d'Andromède, l'État français a rejoint, en mai 2020, l'initiative allemande Gaia-X et a abandonné l'idée de créer ex-nihilo une nouvelle entreprise soutenue par la puissance publique et de grandes entreprises. L'objectif est désormais de former une infrastructure européenne articulée autour d'un organisme de gouvernance et de coordination chargé d'émettre des standards de sécurité, d'interopérabilité et de portabilité des données.

La stratégie nationale pour le cloud de mai 2021 acte l'avance non rattrapable du secteur privé américain. Il s'agit désormais de maîtriser notre dépendance dans la durée. Le pari gouvernemental invoque le précédent du nucléaire, notre autonomie s'étant développée sous licence de technologies américaines.

Je cède la parole à Sébastien Meurant, mon co-apporteur, qui vous présentera nos propositions communes.