Face à l'ampleur des cyberattaques, valorisons les technologies françaises !

 |   |  1286  mots
(Crédits : DR)
Alors que les cyberattaques se multiplient, institutions et entreprises françaises auraient tout intérêt à faire appel à des solutions françaises pour se protéger. Par Georges Lotigier, CEO Vade Retro Technology

Les cyberattaques se généralisent, elles dépassent les frontières pour s'attaquer aux  plus hautes sphères étatiques et dérober des données toujours plus critiques. Les récentes affaires de piratages - Sony ou encore Belgacom - démontrent une fois de plus  la sensibilité de nos données et surtout à quel point il est facile pour des hackers de les  atteindre. Elles prouvent aussi l'impact considérable d'une cyberattaque sur une entreprise, ou pire encore sur un État. A ce sujet, le rapport de la Délégation Parlementaire au Renseignement (DPR), rendu public le 18 décembre est sans appel :  « l'administration française est extrêmement vulnérable en matière d'espionnage  industriel et économique ». De quoi se montrer inquiet quant à la sécurité des données  critiques de nos institutions.
Pourtant, la France est reconnue comme étant une championne des technologies de sécurité grâce à un riche écosystème de grands groupes, PME et start-up de pointe, capables de proposer des solutions de haute qualité, innovantes, sûres et... « Made in France » (développement, hébergement et support). La lecture de ce Rapport, entre autres, nous amène à nous poser plusieurs questions : un recours plus systématique aux acteurs nationaux de la sécurité permettrait-il de mieux sécuriser nos données ? Les technologies françaises sont-elles assez valorisées en France, notamment sur les marchés publics ? Nos entreprises sont-elles prêtes à tirer profit du marché très porteur de la cyberdéfense ?


La cybersécurité, une question de confiance avant tout

Le manque de sécurisation de nos institutions est un fait que le Rapport de la DPR ne fait que confirmer. Conscient de cet enjeu, l'État a fait, depuis longtemps déjà, de la cybersécurité l'une de ses priorités. De grandes manœuvres ont été lancées pour renforcer la sécurité de nos données critiques et industrialiser la cybersécurité au
niveau national.
Ainsi, l'ANSSI a dernièrement annoncé vouloir faire émerger des « acteurs nationaux de confiance » en matière de sécurité en labellisant les fournisseurs de solutions, et en rendant publique la liste de ces acteurs de confiance (Label prévu pour 2015).
Les acteurs nationaux ne sont toutefois pas du genre à rester les bras croisés et se regroupent également au sein de collectifs tels que Hexatrust, un groupement de 19 PME et start-up dont l'objectif est d'améliorer la visibilité de l'offre française en matièrede sécurité des SI, de cybersécurité, et de fédérer les « champions français » afin de proposer une solution alternative crédible aux fournisseurs majoritairement américains ou asiatiques. Dans une période où les attaques s'internationalisent et frappent de plus en plus loin et  de plus en plus haut, il est naturel de vouloir porter sa confiance vers des solutions  proches de soi et dont on connaît l'origine.

Nos entreprises et institutions à la merci du cyberespionnage

En effet, sans pouvoir garantir une sécurité à 100% face à des attaques en évolution permanente, toujours plus élaborées et ciblées, le recours à des solutions nationales permettrait a minima de ne pas laisser des données critiques circuler librement hors de  nos frontières.

 Quand la NSA intercepte des millions de données

Depuis 2013, alors que la NSA (agence américaine) et son homologue britannique se sont vus  accuser d'intercepter des millions de données d'utilisateurs de Yahoo! ou Google, la  question de l'indépendance des éditeurs de solutions IT par rapport à des organismes d'État, continue à se poser. La médiatisation de l'affaire des back doors utilisées à l'insu de certains constructeurs par la NSA a également mis en lumière des activités pouvant être menées par des États en vue d'espionner des particuliers, des entreprises ou d'autres États.
Et d'autres problématiques apparaissent comme la localisation des données, avec
notamment les dernières affaires Microsoft.
Si ces affaires d'espionnage, toujours plus régulières, PRISM en tête pour la France, ont l'avantage de sensibiliser les particuliers à la sécurité informatique et les entreprises à la protection des données, elles ne suffisent pas à propulser la cybersécurité française.
Pourtant, dans ce contexte, il serait probablement plus logique d'opter pour des solutions « Made in France », et de garantir un hébergement des données sensibles en France, plutôt que de laisser la porte ouverte à leur utilisation par des éditeurs étrangers, voire par des États.

Booster la croissance de nos entreprises en France et à l'international

Accorder davantage de confiance aux sociétés locales spécialisées sur le marché de la  cybersécurité impacterait également positivement la croissance économique française.
Promouvoir nos entreprises est primordial :
- Au niveau mondial : les ventes de solutions et de services de sécurité devraient
en effet atteindre 77 milliards de dollars en 2015 contre déjà 71 milliards en 2014, selon le Gartner.
La prise de conscience du potentiel de ce marché au niveau mondial par la France est bien réel : le Plan Cybersécurité de la nouvelle France industrielle a entre autre pour objectif affiché, l'augmentation de l'export des solutions de sécurité françaises de 30 %.
- Le Label métropole French Tech a pour but de faire de la France une pépinière à
start-up. La forte affluence d'entreprises et d'institutionnels français au CES 2015 de Las Vegas a également démontré cette nouvelle influence française à
l'international.

- Au niveau national : En France, le Cabinet Pierre Audoin Consultants estime que le marché français de la cybersécurité devrait croître de 8 à 10 % par an jusqu'en 2017. Certainement l'occasion de créer quelques milliers emplois dans une filière où les perspectives sont plutôt optimistes !


Un accès aux marchés publics trop difficile pour les start-up et PME ?

Malheureusement, malgré la volonté affichée et le réalisme croissant de nos dirigeants sur cette thématique majeure qu'est la cybersécurité, nos entreprises françaises et nos institutions sont encore loin de se tourner vers des solutions et des technologies nationales. La préférence continue encore trop souvent d'aller vers des références du marché mondial, indépendamment de leur origine et ce malgré la qualité des technologies développées sur le territoire national.
Ainsi, dans le cadre des marchés publics, les freins pour les petites structures sont (trop) nombreux et la réponse aux appels d'offres est souvent tout simplement trop complexe, pour plusieurs raisons : le manque de références et d'ancienneté des startup - une gamme de solutions pas assez large pour répondre seul à des appels d'offre imprécis, des règles trop complexes (un certain niveau de CA demandé, etc.).

Privilégier les solutions françaises


Le Label de confiance annoncé par l'ANSSI pour 2015 doit permettre de privilégier les  solutions françaises labélisées dans le cadre d'achats publics. Cette démarche permettra t-elle d'assouplir un peu les règles établies et de valoriser les start-up et PME françaises sur d'importants marchés publics ?
Alors qu'aujourd'hui la solution qui s'impose souvent pour une PME française afin d'accéder à ce types de marchés publics est probablement de se faire racheter par un « gros » constructeur.
Les affaires de piratage de données d'entreprises ou de cyberespionnage d'États risquent fort de se multiplier. La cyber-attaque est devenue une arme considérable, puisqu'elle a une portée économique, industrielle et politique. Aussi, la valorisation de nos technologies françaises revêt une double importance : permettre à nos entreprises de profiter d'un marché mondial extraordinaire et booster la croissance économique  de la France, tout en assurant un maximum de sécurité à nos données critiques. Ne  manquons pas ce virage !

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 16/01/2015 à 16:47 :
Quand on voit les sites qui ont été attaqués ces derniers jours on se rend bien vite compte que leur maintenance laissé à désiré et que bon nombre avait plusieurs années de retard sur les paths de sécurité.
La France à de trés bons atout en terme de sécurité mais la première barrière c'est le bon sens et un budget de maintenance, supervision et évolution réellement abondé.
a écrit le 16/01/2015 à 16:43 :
Ayant exercé dans ce domaine, je suis sidéré du retard français ! Les établissements de santé gagnent le pompom ! Ils ont mis des professionnels de santé (médecins souvent) aux postes de Directeur du Systeme d'Information, très chers payés et .. totalement incompétents. Pas étonnant que le DMP ne'avance pas ! On peut capturer les données de santé sans problème ! Une honte ! Il en est de même dans tout le domaine public (préfectures inclues). Aucun professionnel de bon niveau de la société civile est recruté, seulement des fonctionnaires pas formés. L'ancien régime ! l
Réponse de le 17/01/2015 à 14:45 :
"Aucun professionnel de bon niveau de la société civile est recruté, seulement des fonctionnaires pas formés." : Allez, fracassons du fonctionnaire... Faut peut-être ouvrir les yeux :
- Les SSII propulsent comme expert des personnes qui ont deux semaines d'expérience dans le développement. On passe notre temps sur developpez à leur expliquer ce qu'est une faille par injection SQL ou autre.
- Les clients embauchent des apprentis sorciers qui pratiquent des tarifs dérisoires et ne proposent pas de maintenance. Chez les pirates, la détection des versions de CMS et l'exploitation des failles associées est automatisée!
Critiquez uniquement la fonction publique quand ils sont des hordes à développer des webgoats pour pas cher, c'est se moquer du monde.
Réponse de le 17/01/2015 à 19:53 :
Je suis hélas en grande partie d'accord avec vous, même si vous confondez : le médecin DIM (département d'information médicale) chargé de la cohérence, de l'exhaustivité des codages diagnostiques d'où découle la valorisation de l'activité de l'établissement ; le Directeur du Système d'Information, issu d'une filière administrative (non médecin), en règle l'école de Rennes, qui pilote le plan d'équipement informatique sur lequel reposent, outre l'information médicale, la facturation, la gestion des matériels, des stocks pharmaceutiques, la paye des agents, etc… et négocie les contrats d'hébergement avec des prestataires extérieurs (par exemple pour l'imagerie médicale)… et chapeaute le service informatique (ingénieurs et techniciens, dont les compétences sont, disons très variables d'un établissement à l'autre.
L'obsession de la sécurité amène souvent à verrouiller de nombreuses fonctionnalités, à exiger des mots de passe complexes et renouvelés tous les trois mois… donc oubliés et réinitialisés à qui mieux mieux quand ils ne sont pas sur une étiquette collée au moniteur ou sous le clavier ! Manque de communication, incohérence et bricolages sont la recette d'un manque d'efficience omniprésent.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :