La stratégie nationale qui valait 1 milliard Février 2021

La communication politique a bien fonctionné : des fuites pour susciter l’attente, l’Elysée en première ligne et un budget plus que symbolique. Calculettes des ministères et fonds de tiroirs ont été mobilisés pour atteindre ce milliard. Pour autant, faudrait-il bouder son plaisir ? Non ! Si ce milliard agrège bien fonds publics (720 M€) et privés, subventions et redéploiements de crédits, plan de relance et PIA, il concrétise surtout la formule répétée ces derniers temps : tous concernés par la cybersécurité…

6 objectifs, 4 partis pris, 1 lieu totem

Selon l’ANSSI, le nombre des attaques par rançongiciels a été multiplié par 4 entre 2019 et 2020 (passant de 54 à 192). C’est désormais la première cybermenace pour les entreprises comme pour les collectivités, selon Cybermalveillance.gouv.fr. Ces dernières représentent 20% des victimes comme le prouvent les attaques criminelles contre les hôpitaux et les communes (cf. notre article de la semaine dernière). La stratégie nationale y répond en 6 objectifs clés et 4 partis pris. L’un concerne plus particulière nos structures publiques : « soutenir la demande en renforçant la prise de conscience de la population au risque cyber via des actions de sensibilisation et de mise en valeur de l’offre française ». Un lieu totem de cette mobilisation sera créé, en lien avec le Comité stratégique de filière (CSF) Industries de sécurité et son projet structurant « cybersécurité et sécurité de l’IoT ». Le Campus Cyber rassemblera les principaux acteurs nationaux et internationaux du domaine. Localisé dans la tour ERIA à la Défense, il sera prêt à accueillir dans ses 25 900m² plus de 1000 experts d’ici la fin du deuxième semestre 2021. ANSSI, Police judiciaire, Gendarmerie, Cybermalveillance.gouv.fr, y seront représentés. Des initiatives similaires pourraient progressivement voir le jour dans les territoires, pour créer un réseau humain de Campus Cyber (Bretagne, PACA…)

60 M€ pour les collectivités

Dans le cadre du plan France Relance, l’ANSSI bénéficie d’une enveloppe de 136 millions d’euros pour renforcer la cybersécurité de l’État et des territoires sur la période 2021-2022. Le budget devrait se répartir entre trois catégories de bénéficiaires : 50% pour les collectivités, 30% pour les ministères et 20% pour les établissements publics ou autres organismes sous tutelle. En concertation avec l’ensemble des acteurs concernés (notamment les associations d’élus, dont l’Avicca), l’objectif vise à élever le niveau des collectivités et des organisations au service des citoyens, tout en développant le tissu industriel français. 

Concrètement, l’ANSSI propose aux acteurs publics volontaires des dispositifs de sécurisation (Parcours de cybersécurité et appels à projets) ainsi qu’un accompagnement à la création de CSIRTs régionaux (centre de réponse d’urgence aux incidents cyber, avec l’appui des régions). Une hotline devrait aussi être créée pour apporter une assistance aux administrations victimes de cyberattaques. Actuellement en phase expérimentale, les parcours cyber de l’ANSSI proposent un pré-diagnostic et un accompagnement par des prestataires compétents, de la maîtrise d’ouvrage jusqu’à la mise en œuvre. Ils devraient être accessibles à toutes tailles de collectivités et d’organismes publics, notamment à nos structures de mutualisation suite aux demandes de Déclic et de l’Avicca, apparemment entendues (le seuil proposé par l’Etat de 50 000 habitants n’apparaît plus nulle part…

1 guide et 1 label pour garder les bons réflexes

Dans le prolongement des annonces de la stratégie nationale, l’ANSSI, avec le soutien de la Direction générale des entreprises et de Cybermalveillance.gouv.fr a lancé le guide « La cybersécurité pour les TPE/PME en 12 questions », qui répond aux besoins des petites et moyennes entreprises. Ces 12 fiches de bases sont aussi transposables pour les petites communes ou structures publiques. 

En parallèle, Cybermalveillance.gouv.fr a proposé « ExpertCyber ». Le label a été développé au sein du GIP (dont l’Avicca est membre depuis ce 1er janvier 2021), en partenariat avec les principaux syndicats professionnels du secteur (Fédération EBEN, Cinov Numérique, Syntec Numérique), la Fédération Française de l’Assurance (FFA) et  avec le soutien de l’AFNOR. Il vise à reconnaître, partout en France, l’expertise des professionnels en sécurité numérique assurant des prestations d’installation, de maintenance et d’assistance en cas d’incident. Les candidats répondent à un questionnaire technique et produisent des documents attestant de leurs compétences. Ils sont labellisés à l’issue d’un audit réalisé par l’AFNOR.

Parmi la cinquantaine d’experts labellisés pour le moment, il y en a probablement un près de chez vous. Le connaître devrait rejoindre la liste des réflexes d’hygiène informatique au même titre que :  

• renforcer les mots de passe (9 à 14 caractères en fonction de la criticité)
• mettre à jour les matériels et logiciels
• sauvegarder régulièrement les données
• rester vigilants lors de la navigation sur internet et avant d’ouvrir des mails 
• séparer les usages professionnels et personnels, surtout en  période de télétravail