lundi 1 décembre 2014

LPM, cyber et OIV : nécessité des solutions et manoeuvre en terrain miné

(Source)
Si le risque cyber est en train de se hisser au premier rang des préoccupations des autorités françaises, plus frileuses sont les entreprises et nombreux sont les écueils et les adversaires potentiels à davantage d'obligations et d'exigences réglementaires. 

En dépit d'un discours du directeur général de l'ANSSI globalement bien accueilli lors des dernières Assises de la sécurité à Monaco (1), des réserves mais aussi une certaine opposition transparaissent voire viennent augurer de possibles difficultés à venir dans la mise en œuvre des (futures) mesures garantes de l'état d'esprit lié au volet cyber de la loi de programmation militaire (LPM) actuelle (2014/2019). L'arrivée prochaine des décrets mais surtout les groupes de travail qui démarrent en vue d'élaborer les futurs arrêtés sectoriels (2) sont marqués par le triple sceau de la difficulté : l'inconnu sinon l'angoisse de la nouveauté, un contexte économique en berne et une contestation discrète mais bien réelle. Avancer en terrain miné pour atteindre un objectif courageux et nécessaire pourrait réclamer de nouvelles idées voire des aménagements. 


Les autorités, conscientes de la résistance qui pourrait s'organiser, avancent en promouvant une délicate démarche de concertation avec l'ensemble des acteurs touchés par la réforme : administration (ministères coordonnateurs), entreprises "OIV" (1) et régulateurs des différents secteurs concernés. Par ailleurs, si à l'impossible nul n'est tenu, soulignons que la France est cependant le premier pays au monde à se doter d'un tel arsenal juridique et technique (3).  Ailleurs, la concertation incertaine (4) le dispute aux tentatives isolées et jusqu'ici infructueuses (5). C'est dire combien la manœuvre générale pour essayer de trouver la bonne distance entre l'obligation, l'incitation et l'absolution (6) est complexe et incertaine.

Sans présager de l'atteinte des objectifs fixés par les autorités, il est possible qu'une navigation en terrain miné, donc potentiellement explosif, soit au rendez-vous de l'agenda ambitieux qui a été fixé. L'argument du coût supposé élevé relatif à la mise en œuvre des mesures de sécurité obligatoires pourrait rencontrer un écho (dé)favorable dans le climat économique actuel. Si proposer un socle de règles "financièrement soutenables" est une proposition loyale et pragmatique, les autorités pourraient cependant avoir affaire à forte partie : lobbying "amical" sinon plus agressif, relais parlementaires (potentiellement) instrumentalisés, menaces de délocalisation, etc.

En dépit de cyberattaques toujours plus nombreuses, plus professionnelles et plus invasives, certains professionnels observent, consternés sinon atterrés, une baisse importante des budgets cybersécurité au sein de grandes entreprises (7). Qui, pour certaines et la main sur le cœur, ont "pris conscience des risques" et, bien évidemment, mettent "en place l'ensemble des mesures appropriées". Malheureusement, les auditeurs (8) avec lesquels j'échange régulièrement continuent à relever les mêmes travers sur le terrain depuis des années : organisation faillible du fait d'un sous dimensionnement chronique, errements techniques répétés à coup de défense périmétrique laissant des systèmes d'information perclus de vulnérabilités exploitables et sans doute exploitées, pratiques d'administration confinant à l'hérésie, absence avérée de prise de conscience générale, etc.

Si le tableau apparaît noir voire apocalyptique c'est qu'il l'est !

L'heure des faux-semblants et des belles paroles ne pourra pas durer éternellement, les entreprises devront prendre leur part sans regimber. Pour certaines, c'est une question de survie, pour d'autres (9), de patriotisme économique. Penser que des sanctions financières, relativement importantes, et de la bonne volonté assureront seules une meilleure protection des systèmes d'information apparaissent d'ores et déjà insuffisantes. Si l'idée de contreparties n'est pas encore d'actualité, on peut sans peine imaginer qu'elle a été envisagée et qu'elle pourrait être mise sur la table en cas de durcissement de la contestation rampante (10). 

Alors que l’État fait le pari de baisses massives de charges notamment patronales (11) dans un effort assez inédit et avec une relative incertitude des résultats, son interlocuteur principal serait habile de se saisir du cyber comme d'un levier. Il pourrait indiquer, par exemple, que l'ensemble des entreprises (12) consacreront un certain pourcentage des marges financières dégagées par la baisse d'une partie charges pour renforcer les budgets cyber actuels. Car ne nous leurrons pas : la cybersécurité "sérieuse" possède évidemment un coût important au début du cycle d'un produit ou d'un processus mais aussi et surtout c'est un investissement à moyen et long terme. Bien "marqueté", ce pourrait même être un facteur positif et différenciant y compris à l'export. A la clé, la sauvegarde d'emplois qui pourraient disparaître au rythme où nos secrets industriels et économiques se font siphonner. Au surplus, le cercle vertueux que l’État français cherche à mettre en place devrait créer des centaines sinon des milliers d'emploi si l'on imagine démultipliée la dynamique qu'il cherche également à distiller à l'endroit de ses partenaires européens (13).


(1) les "opérateurs d'importance vitale" sont les "opérateurs publics ou privés qui participent [aux] systèmes [d'information] pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation"
(3) Plusieurs référentiels techniques sont en cours d'élaboration ici et
(6) Puisqu'en cas d'attaques cyber majeures, peut-être sera-t-il bon de s'en remettre au Supérieur...
(8) qu'ils soient techniques ou organisationnels
(9) sans doute avec la dose de naïveté qui me caractérise encore
(10) http://www.lesechos.fr/tech-medias/hightech/0203969133313-cybersecurite-frictions-entre-letat-et-le-monde-numerique-1068536.php?mMfCk8oke0jKyYpD.99
(11) autrement appelé "Pacte de responsabilité et de solidarité" http://www.vie-publique.fr/actualite/dossier/rub1786/pacte-responsabilite-solidarite-allegements-charges-contre-embauches.html 
(12) quelle que soit l'issue des travaux en cours, il ne pourra être fait l'économie d'une réflexion et surtout d'un dispositif adapté aux petites et moyennes entreprises (PME)
(13) http://www.silicon.fr/directive-europeenne-securite-infrastructures-it-oiv-102691.html

Aucun commentaire: