Intervention de Sébastien Meurant

Il me revient de vous présenter nos propositions afin de mettre la cybersécurité à la portée des PME.

Conformément à la « doctrine » de la Délégation, nous avons écarté toute proposition qui n'irait pas dans le sens de la simplification pour les entreprises.

Face au virus de la cybercriminalité, il faut tester, alerter, protéger. C'est autour de ces trois axes que nous avons organisé nos recommandations.

- Axe 1 : Tester la cyberrésilience des entreprises

Nous avons constaté que le dispositif cybermalveillance.gouv.fr reste mal connu non seulement des entreprises mais aussi des forces de police ou de gendarmerie, sur le terrain. Il faut donc promouvoir davantage ce dispositif auprès des entreprises et dédier un service d'urgence aux entreprises. À cet effet, il est proposé de mobiliser sur sa plateforme d'appel des étudiants disposant des compétences numériques adéquates et effectuant leur service civique (proposition n°1).

Un recueil anonymisé de plaintes doit être ouvert afin d'encourager les entreprises à signaler les cyberattaques sans porter atteinte à leur réputation, tout en décourageant la publicité autour des logiciels malveillants (proposition n°2).

Pour faciliter l'accès des PME à la cyberprotection, des équipes de réponse aux incidents informatiques (CSIRT Computer Security Incident Response Team) doivent être déployés dans les Régions afin de sensibiliser les collectivités locales, qui sont, avec les hôpitaux publics, également des cibles pour la cybercriminalité (proposition n°3). Nous vous proposerons à l'automne, avec la Délégation aux collectivités territoriales, de sensibiliser les grandes associations d'élus.

Pour tester la résilience du tissu entrepreneurial, l'État doit élaborer des plans de prévention des cyberrisques afin de coordonner la réponse des pouvoirs publics et des acteurs privés en cas d'attaque numérique systémique affectant une part significative des entreprises quelle que soit leur taille, et organiser régulièrement des exercices de simulation (proposition n°5).

- Axe 2 : Alerter sur le péril cyber

Salariés et dirigeants d'entreprise doivent être davantage sensibilisés à la cybersécurité, à l'hygiène numérique et ses gestes barrières. Les salariés, en se voyant proposer une sensibilisation par la voie de la formation professionnelle (proposition n°9). Deux amendements seront proposés dans ce sens au projet de loi pourtant lutte contre le dérèglement climatique et renforcement de la résilience face à ses effets, l'article 18 précisant le rôle des OPCO dans l'accompagnement des entreprises sur les enjeux relatifs à la transition écologique, et la transition numérique en étant un élément constitutif indissociable.La sensibilisation des dirigeants d'entreprise à la cybersécurité est également vitale, puisque leur responsabilité personnelle peut être engagée en cas de cyberattaque de la chaîne de valeur dont ils sont partie prenante. Les dirigeants de PME voient être mieux mieux prévenus et alertés du risque de devenir à la fois victime et responsable d'un cybersinistre (proposition n°15).

Pour les encourager dans cette démarche, le rôle d'alerte et de conseil des experts-comptables ou commissaires aux comptes, devrait pouvoir utiliser un référentiel de cybersécurité accessible aux PME et TPE (proposition n°14). Celles-ci ne peuvent pas en effet lire et appliquer les 1000 pages des recommandations de l'ANSSI !

Afin de renforcer la security by design, l'intégration de la sécurité lors de la conception et tout au long du cycle de vie d'un logiciel, deux mesures peuvent être proposées. La première est d'adapter, pour les entreprises, les garanties de mise à jour -notamment de sécurité- des logiciels. Celles-ci ont été récemment renforcées pour les consommateurs, notamment dans la proposition de loi sénatoriale sur l'empreinte environnementale du numérique qui est discutée aujourd'hui à l'Assemblée nationale. La seconde proposition sur ce point est d'organiser un « hackathon de la cybersécurité des entreprises » - c'est-à-dire un regroupement sur plusieurs jours de développeurs, dans le but de travailler en collaboration sur le développement de nouveaux logiciels - avec le support de l'ANSSI, ciblant notamment les logiciels mis sur le marché. Il pourrait se tenir tous les 30 novembre, qui est la Journée mondiale de la cybersécurité (proposition n°13).

Afin de sensibiliser le grand public à la cybersécurité, un cyberscore des plateformes numériques doit être instauré, comme le Sénat l'a récemment proposé (proposition n°22), et une campagne massive de promotion des métiers de la cybersécurité doit être déployée (proposition n°10).

- Axe 3 : Protéger les ETI, PME et TPE par des outils adaptés

Ce troisième volet est bien entendu le coeur de la cyberprotection des TPE et PME.

L'État a annoncé en février dernier, après les cyberattaques contre des hôpitaux notamment, « 1 milliard en faveur de la cybersécurité », dont 720 millions de financements publics, mais on peine à en voir la traduction pour les entreprises. L'essentiel des crédits renforce en effet la cybersécurité de la sphère publique.

Alors même que rien n'est prévu en la matière, il faut renforcer la réponse pénale à la cybercriminalité dans quatre directions :

1. Développer la formation initiale et continue des magistrats en matière de cybercriminalité ;

2. Augmenter les effectifs spécialisés en cybersécurité des forces de sécurité ;

3. Doter les forces de cybersécurité de moyens financiers adéquats ;

4. Étudier la faisabilité de la création d'un Parquet national de lutte contre le cybercrime.

C'est la proposition n°6.En complément, et pour répondre à l'industrialisation de la cybercriminalité, les procédures pénales doivent être adaptées pour accélérer la réponse judiciaire et renforcer la coopération avec l'ANSSI au-delà de la lutte contre le terrorisme (proposition n°7).La présidence française de l'Union européenne au premier semestre 2022 doit être mise à profit pour accélérer les négociations sur les amendements à la convention de Budapest de 2001 sur la cybercriminalité, et sur le projet de règlement européen sur la preuve numérique (paquet « e-evidence ») afin de débloquer les négociations entre les États-Unis et l'Union européenne. Il s'agit ainsi d'approfondir la coopération internationale contre la cybercriminalité (proposition n°8).Pour aider à la consolidation de l'écosystème français de la cyberprotection, le droit de la commande publique doit évoluer. Il faut en pérenniser les dispositions du décret du 24 décembre 2018, qui permet aux entités publiques de passer des marchés dans des domaines innovants, donc de cybersécurité, sans appel d'offre jusqu'à 100 000 euros. Il faut aussi permettre aux start-up de cybersécurité de proposer aux collectivités publiques leurs produits en dehors des plateformes de grossistes. Aujourd'hui, l'UGAP passe par une société britannique !

Tous nos interlocuteurs dans ce domaine, qui sont des start up, ont demandé non pas des subventions publiques mais des marchés publics, seul levier permettant de consolider cet écosystème que le Gouvernement appelle de ses voeux. Encore faut-il que ce ne soit pas des voeux pieux ! Il faut donc étudier la possibilité que les opérateurs de réseaux puissent privilégier un achat européen ou national de solutions de cybersécurité (proposition n°4).Pour approfondir la cybersécurité des entreprises, le rôle des assurances est décisif.

Aujourd'hui, une entreprise française sur cinq paye un rançongiciel. En général, elle se fait ensuite rembourser par son assurance. Le coût assurantiel des cyberattaques a triplé en un an. Le taux de couverture des PME est inexistant : il est seulement de 0,0026 % ! La France est l'un des pays qui paye le plus au monde ces demandes de rançons, selon une étude de l'assureur Hiscox. Lors de notre table ronde du 15 avril, le directeur général de l'ANSSI a indiqué que les porteurs de risques « préfèrent payer quelques millions de rançons plutôt que quelques dizaines de millions au titre de la perte des données garantie par la police d'assurance contractée. Nous devons mener un travail de fond pour casser ce cercle vicieux autour du paiement des rançons. » Ce secteur, très divisé sur le sujet, attend une position claire des pouvoirs publics. Le Haut comité juridique de la place de Paris a été missionné à cet effet par la direction générale du Trésor. Il devrait rendre ses conclusions sur ce sujet le 29 septembre. Nous proposons d'interdire le remboursement par l'assurance des rançongiciels pour trois raisons :

Payer ne garantit pas de récupérer les données et attire de nouveaux prédateurs. ;- Payer alimente la cybercriminalité, voire le terrorisme ;

- Payer empêche de construire un marché sain de la cyberassurance.

Aux États-Unis, une agence du Département du Trésor du 1er octobre 2020 a clairement indiqué que, dans certains cas, les sociétés qui acceptent de céder au chantage des groupes cybercriminels pourraient également être sanctionnées par les autorités américaines.

Nous proposons donc d'interdire l'assurabilité des rançongiciels et des sanctions administratives en cas en cas de violation de la réglementation sur la protection des données à caractère personnel. Cette interdiction doit être actée au niveau européen (par un amendement à la convention de Budapest du Conseil de l'Europe), par un règlement de l'Union européenne, et au niveau national, par une disposition législative expresse dans le code des assurances (proposition n°12).Dans un deuxième temps, le marché de l'assurance doit être affermi par une meilleure compréhension du risque, en ayant la connaissance la plus exhaustive possible des sinistres. Il faut également promouvoir l'utilisation de logiciels et d'experts en cybersécurité certifiés, comme le label ExpertCyber. Enfin, dans une plus longue perspective, il faut créer une agence de cybernotation française ou européenne, utilisant les référentiels de l'ANSSI (ou de l'ENISA) (proposition n°16).Dans un troisième temps, l'éligibilité à un remboursement par les assurances devra être réservée aux entreprises qui ont eu recours aux services des prestataires labellisés Expert Cyber (proposition n°11).

Nous proposons par ailleurs des solutions simples et mutualisées pour renforcer la cybersécurité des PME.

Pour remédier à la pénurie de ressources humaines en expertise, il faut faciliter la mutualisation des responsables de sécurité des systèmes informatiques (RSSI) pour les PME, par la constitution de groupements d'employeurs, ayant un statut de tiers de confiance (proposition n°17).Pour simplifier la vie des entreprises, il faut développer l'offre d'un « package » simplifié de solutions de cybersécurité pour les TPE et PME (proposition n°18).

Pour rétablir l'égalité des relations contractuelles dans le cloud, il faut enfin accorder aux TPE et PME, dont le champ de l'activité principale n'est pas le numérique, la protection de l'article L.212-1 du Code de la consommation sur les clauses abusives (proposition n°19).Cette mise à la portée des PME d'une certification automatique de cybersécurité existe actuellement en Grande-Bretagne : tous les services hébergés dans le cloud proposé par Amazon répondent aux exigences de l'agence britannique de cyberprotection.

Pourquoi ne pas étudier, en France, la faisabilité d'une solution comparable, de démarrage rapide configurant l'usage du cloud aux prescriptions de cybersécurité définies par l'ANSSI ?

Par ailleurs, à l'échelle de l'Union européenne, une approche commune franco-allemande pourrait plaider en faveur d'une meilleure prise en considération des PME dans le schéma européen de certification de cybersécurité pour les services cloud qui doit uniformiser le marché (proposition n°20).

Pour financer cette mise à niveau de la cyberprotection, il faut, comme le Sénat l'a préconisé à de multiples occasions, mettre en place un crédit d'impôt à destination des chefs d'entreprise et des salariés des PME, prenant en charge une partie des dépenses d'équipement (logiciels ou abonnement cloud) et de formation des dirigeants et salariés à la cybersécurité (proposition n°21).Avec ces propositions, nous ne prétendons pas clore un sujet qui évolue en permanence profondément, mais tracer quelques pistes pour que la coopération public- privé en faveur de la cyberprotection des entreprises soit la plus efficiente possible.

Je vous remercie pour votre attention.