Campagnes de déstabilisation en Occident, paralysie de centrales nucléaires, immobilisation de grandes entreprises ou de PME... Les cyberattaques, dont certaines pourraient être le fait d'États, sont protéiformes et bouleversent nos référentiels juridiques. Les États d'abord, et notamment les gouvernements américain, chinois, russe ou iranien. Nombreuses sont les affaires où le soupçon de cyberattaque pèse lourdement sur un État, parfois même allié. Nous ne pouvons pas, certes, désigner clairement le pays à l'origine des attaques. Leurs effets nous donnent toutefois de précieux indices sur les objectifs poursuivis, et donc sur le profit du crime.

C'est tout le sens de la démarche occidentale de septembre dernier, portée par les « Five Eyes » [l'alliance des services de renseignement de l'Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis, ndlr], visant à publiquement attribuer l'origine d'attaques cybernétiques à la Russie. Passée inaperçue, cette déclaration est probablement la plus forte des cinq dernières années.

Mondiales, sournoises, insaisissables

Oui, le cyberespace est le théâtre d'opérations militaires ; oui, les États détiennent des armes numériques ; oui, ils les utilisent et s'engagent dans un conflit ouvert. Cette entrée dans la guerre numérique, la France et les grandes puissances s'y préparent depuis longtemps. L'annonce, en janvier dernier, par la ministre des Armées, Florence Parly, de l'existence de capacités offensives cyber en France, marque le départ d'une guerre invisible mais redoutable. Elle concrétise surtout la montée en puissance des capacités cyber françaises initiée dès 2009 et son accélération depuis 2016.

Sabotage, surveillance ou vols de données, le frottement des plaques cyber nous offre une tectonique hybride où se mêlent guerre économique, souveraineté et puissance. Dès lors, renseignement et intelligence économique deviennent des outils indispensables pour se défendre. Cet espionnage, industriel notamment, vise ouvertement à compromettre la sécurité nationale de ses cibles. Pour preuve, l'attaque de la centrale nucléaire américaine du Kansas en 2017 ou, en 2010, Stuxnet, le ver informatique conçu par la NSA pour contaminer et détruire l'usine de centrifugeuses nucléaires de Natanz en Iran. Mondiales, sournoises, insaisissables, ces cyberattaques s'immiscent lentement et sans bruit dans les systèmes d'information des entreprises. En quelques secondes, ces attaques virtuelles peuvent anéantir des centaines d'entreprises et paralyser un État.

« Le fameux "Je suis trop petit, je n'intéresse personne" est le premier danger auquel nous faisons face »

Le rapport au risque le plus favorable est celui qui cible les « petits ». Les collectivités, les TPE, les PME, et même les citoyens, sont autant de proies aisément attaquables, étant encore mobilisées par leur transformation numérique, notamment en France. Le fameux « Je suis trop petit, je n'intéresse personne », qui laisserait presque penser qu'un braqueur ne s'attaquerait qu'à la Banque de France, est le premier danger auquel nous faisons face. Le maillon faible de la chaîne de sécurité numérique, c'est l'humain. Manque de connaissance, de sensibilisation, de moyens, de compréhension...

La réalité, c'est que les PME et ETI sont les premières cibles et que la plupart ne s'en relèvent pas. Or, dans notre monde hyperconnecté, nous sommes bel et bien collectivement responsables de notre sécurité, et de celle de notre environnement. En pleine transition, chacun se concentre sur la digitalisation de son activité, qu'elle soit publique ou privée. Pourtant, c'est bien la confiance de l'utilisateur ou de l'usager dans les outils, les acteurs et les réseaux, qui devrait être le cap de cette mutation. Cette confiance, que tout le monde appelle de ses vœux, manque terriblement. Elle doit donc trouver un espace de co-construction prenant en compte les règles et leur pratique. Autrement dit, entre les pouvoirs publics et la société doit s'établir un dialogue afin d'ajuster l'ensemble des curseurs pour que chacun connaisse les bons usages, les bonnes pratiques.

Les dirigeants d'entreprise ne s'en préoccupent pas assez

Cette brique indispensable de sécurité doit être adaptée aux usages et garantir la sécurité des biens et des personnes. Dès lors, il faut démocratiser le numérique et les conditions de son utilisation. En effet, bien que la menace soit de plus en plus médiatisé, les décideurs des grandes entreprises, ETI et PME ne s'en préoccupent pas. A-t-on jamais vu un PDG, un directeur marketing ou commercial, un responsable de la chaîne de production, d'achat ou logistique se soucier de sa cybersécurité ? Pour ces décideurs, il s'agit d'un sujet d'experts qui doit être le moins coûteux possible. Une stratégie dangereuse et inconsciente à l'heure de la digitalisation des entreprises. Car la question est vitale. La puissance de frappe mise en œuvre est telle que la menace n'est plus du seul ressort des DSI et autres experts du numérique.

C'est dans ce contexte que nos sociétés intègrent le numérique à leur quotidien. Du citoyen au lycéen, en passant par l'élu ou le chef d'entreprise, le numérique est partout. L'existence même de nos organisations, en pleine transformation, est désormais ouvertement menacée. En ligne de fond, ce sont notre souveraineté et notre démocratie qui sont dans la balance. Il est donc temps de prendre ce sujet à bras-le-corps : la cybersécurité est l'affaire de tous !