Appuis publics à la cybersécurité des entreprises, une cartographie complexe

Devant la hausse exponentielle de cyberattaques, l’État a mis en place de nombreux outils pour les différents publics, allant de la TPE aux plus grandes entreprises. Au risque de provoquer une certaine confusion.

Historiquement, l’État français a commencé à organiser la lutte contre les cybermenaces dès 2004 pour les sites gouvernementaux, les institutions, les opérateurs d’importance vitale (OIV). Ces derniers ont pour interlocuteur l’Agence nationale de la sécurité des systèmes d’information (ANSSI), sous la houlette du SGDSN. En cas d’incident de sécurité, un formulaire dédié est à remplir et à envoyer en ligne. L’évolution des menaces, leur nombre toujours plus grand, leur sophistication ont conduit à la définition d’une politique spécifique de cybersécurité par la Revue stratégique de cyberdéfense de 2018. Elle s’est alors accompagnée de l’entrée en vigueur de la directive européenne NIS 1 de 2016. Trois autres textes, NIS 2, REC et DORA, qui devaient être adoptés cet automne, mais restent largement soumis aux aléas de la situation politique du pays, vont élargir le champ des organismes soumis à des obligations de gestion des risques et d’informations en cybersécurité, en fonction de leur criticité, de leur secteur et de leur taille – on passe de 500 à 15 000 entités concernées. Au sujet des sinistres à proprement parler, depuis 2017, le GIP cybermalveillance.gouv.fr aide en cas d’escroquerie ou de cyberattaque l’ensemble du spectre français : grand public, entreprises ...