Dans un courrier adressé au Premier ministre, le Cigref témoigne de la préoccupation des grandes entreprises et administrations publiques face à l’augmentation en nombre et en intensité des attaques sur leurs SI, leurs données, leurs utilisateurs. En tapant au passage sur son bouc émissaire préféré : les éditeurs.

Fin octobre, le FBI a publié une alerte affirmant disposer d’informations concrètes autour d’une préparation d’une vague d’attaques contre les acteurs américains du secteur de la santé. Il y a quelques jours, Microsoft annonçait avoir détecté plusieurs attaques informatiques d’envergure visant des groupes pharmaceutiques leaders et des centres de recherche au Canada, en France, en Inde, en Corée du Sud et aux États-Unis.
Ces derniers jours des entreprises françaises majeures de l’univers de l’IT telles que Sopra Steria et Umanis ainsi que des mairies comme celles de Vincennes et d’Alfortville ont été victimes de ransomwares qui ont vu leurs activités perturbées durant plusieurs jours.

C’est dans ce contexte que le Cigref a adressé un courrier au Premier ministre Jean Castex. Pour l’association IT représentant les plus grandes entreprises et administrations publiques françaises, « la situation n’est plus acceptable ». Les cyberattaques se sont en 2020 significativement intensifiées en nombre et en intensité, touchant de plus en plus d’organismes publics et privés. « Elles constituent une menace croissante pour l’économie » alerte le Cigref, notant que « les pertes d’exploitation des centaines d’entreprises, grandes et moins grandes, ayant subi une cyberattaque ne sont désormais plus anecdotiques, comme l’actualité le démontre trop fréquemment. »

Le Cigref regrette l’insuffisance des réponses de la communauté internationale et des États face à la réalité d’une menace qui se déploie à l’échelle mondiale, et que des organisations criminelles ont industrialisée avec une efficacité croissante. « Aucun autre secteur d’activité que celui du numérique n’accepterait de se développer dans un tel contexte de faiblesse du droit applicable et de quasi-impunité des criminels ».

La remarque est judicieuse et l’alerte légitime… Mais elle aurait probablement plus d’impact si le Cigref ne poursuivait pas son courrier en se livrant à ce que l’association semble savoir de mieux en mieux faire : se plaindre et rejeter la faute sur les éditeurs !

Car le Cigref n’a pas pu résister à la tentation, dans ce courrier sur la cyberciminalité, d’attirer l’attention du Premier ministre « sur la responsabilité des fournisseurs de systèmes numériques. En effet, les pratiques généralement constatées, notamment chez les éditeurs de logiciels, sont insuffisantes, et doivent être régulées pour renforcer la sécurité globale des systèmes numériques ».

Car, bien évidemment, si les basiques de la cyber-sécurité ne sont jamais respectés, si l’hygiène des Active Directory est une catastrophe et si les utilisateurs sont aussi mal sensibilisés… c’est principalement de la faute des éditeurs ! Le coup est bas.

Il ne s’agit pas ici d’accuser qui que ce soit. La cyber-résilience est un long et difficile voyage. Et bien des entreprises investissent lourdement pour renforcer leur sécurité et celle de leur supply chain. Mais le travail de défense est ingrat alors que celui des attaquants (qui opèrent où ils veulent, quand ils veulent et comme ils veulent) est finalement bien plus simple. Et, évidemment, les logiciels contiennent des bugs et les correctifs ne sont pas simples à implémenter.

Mais il est dommage de voir le Cigref tomber dans une sorte de facilité qui consiste à attribuer tous les maux aux éditeurs. L’approche choisie nous paraît maladroite car elle donne au Cigref une posture caricaturale qui dessert par ailleurs le sérieux de ses travaux et la qualité de ses rapports annuels. A moins qu’elle ne soit qu’un aveu d’impuissance, de manque d’emprise sur les éditeurs.

L’association termine sa complainte en « pressant le Premier ministre et son Gouvernement à agir sans délai pour engager ou renforcer les démarches nécessaires, au plan national, européen et international, pour apporter une réponse en moyens et en droit permettant de renforcer la sécurité de l’économie confrontée à cette délinquance ». Le premier ministre aura probablement envie de lui répondre que de son côté l’ANSSI, elle, presse depuis des années les entreprises du Cigref à agir sans délai pour engager ou renforcer l’hygiène de leurs systèmes d’information.


A lire également : L’état des attaques par ransomwares en France selon le directeur de l’ANSSI