Intervention de Gérôme Billois

Numeum est une association professionnelle qui regroupe 2 300 entreprises représentant 85 % du chiffre d'affaires du secteur du numérique en France, soit environ 60 milliards d'euros. Nous y avons une commission consacrée à la cybersécurité.

Votre mission est centrée sur des problématiques de résilience cyber. Je vais adopter à la fois une vision d'ensemble des acteurs du secteur du numérique et une approche plus concrète de praticien. En effet, dans mon activité professionnelle au sein du cabinet Wavestone, nous venons en aide aux entreprises victimes de cyberattaques en nous déplaçant sur le terrain.

La cyberrésilience est un sujet complexe. Les fragilités intrinsèques de la France et de l'ensemble des États dans ce domaine ont été démontrées. Le premier facteur expliquant la difficulté de résilience en cas d'attaque est l'uniformisation des technologies très largement utilisées dans le numérique. C'est le principal vecteur favorisant les attaques à la limite de l'ordre systémique que l'on a déjà pu observer. L'attaque NotPetya venait d'Ukraine et visait l'État ukrainien, mais l'interconnexion des différents systèmes numériques l'a amenée à toucher simultanément et très rapidement des entreprises du monde entier. Une entreprise que nous avons accompagnée a vu 50 000 de ses ordinateurs détruits en quarante-cinq minutes. La Maison-Blanche a estimé le coût de cette attaque à environ 10 milliards de dollars à l'échelle internationale. Certains grands groupes internationaux ont fait part de pertes de 600 à 700 millions de dollars, et le groupe Saint-Gobain, touché par l'attaque, a indiqué un impact de 220 millions d'euros.

Le deuxième facteur de fragilité est lié au retard dans l'investissement des entreprises, des pouvoirs publics et de l'ensemble de la sphère numérique dans la sécurisation des systèmes. Le retard accumulé dans les investissements est de l'ordre de dix à quinze ans, malgré une prise de conscience croissante. Les États-Unis, souvent cités comme leaders dans le domaine du numérique, ont fait l'objet d'attaques touchant tous les secteurs de leur économie, comme l'essence, la distribution de viande ou les hôpitaux. Cette problématique doit être pensée à l'échelle mondiale.

Par ailleurs, il est nécessaire de mieux sécuriser par défaut tous les systèmes numériques que l'on construit. Dans les années 1970, les ceintures de sécurité étaient en option dans les voitures, seules les personnes les plus consciencieuses en demandaient l'installation. Il en va de même pour le numérique. Quand on achète un équipement numérique ou un logiciel, la sécurité n'est souvent pas implémentée par défaut… De même que le nombre de morts sur la route a amené à des obligations de sécurisation des véhicules, il faut permettre au grand public, aux TPE et aux PME d'évaluer la sécurité numérique lors de l'achat. La Commission européenne est mobilisée sur la création de mécanismes de certification, afin que le label CE puisse intégrer des éléments de cybersécurité.

Je souligne que nous sommes ici face à de vrais attaquants. Il peut s'agir d'individus isolés qui attaquent par idéologie, de groupes criminels motivés par l'appât du gain, ou d'États qui suivent une logique d'espionnage et de déstabilisation. Tous sont mus par un sentiment d'impunité. Malgré le nombre d'attaques, il existe peu de moyens pour enquêter et chercher les cybercriminels. En France la police et la gendarmerie ont fourni des efforts importants. CyberGEND centralise les forces cyber au sein de la gendarmerie, mais la justice reste le maillon faible de la chaîne : le parquet national cyber ne dispose que de trois magistrats qui doivent traiter 400 à 600 affaires par an. Les efforts doivent être menés à l'échelle française et diplomatique : la coopération internationale est nécessaire, car les cybercriminels n'attaquent que rarement leur propre pays et savent masquer leurs traces. Quelques arrestations notables ont pu avoir lieu en début d'année, grâce à des coopérations avec l'Ukraine où certains groupes criminels sont localisés.

Enfin, nous manquons de personnels et de compétences dans ce domaine. Avec l'institut Montaigne, nous avions travaillé sur un scénario d'ouragan cyber qui se déplacerait en France en emportant dans une attaque simultanée des milliers de PME, un certain nombre de grands groupes et quelques ministères. Pour gérer un tel incident et reconstruire les systèmes, nous manquerions de bras même en mobilisant les secteurs public et privé. Nous avions réfléchi à des logiques de coopération entre entreprises d'un même secteur d'activité et à l'échelle internationale, essentielles pour gérer des attaques majeures.

Toutes ces démarches sont lancées, mais nécessitent aujourd'hui d'être accélérées.