Si l'on s'en tient uniquement aux chiffres, le bilan 2018 en matière de signalements et d'incidents de sécurité en France apporte un certain rayon d'optimisme. En effet, par rapport à l'année précédente, le nombre de signalements cyber a baissé (1 869 contre 2 435 en 2017) de même que les incidents hors OIV (391 versus 794), tout comme le nombre d'incidents majeurs (16 en 2018, et 20 en 2017). Mais en dépit d'un volume d'interventions en baisse, il ne faut pas croire que le risque cyber a diminué en France, bien au contraire, comme on a pu s'en rendre compte à l'occasion de la présentation à la presse ce 15 avril 2019 du dernier rapport d'activité 2018 de l'ANSSI sur Paris.

L'agence nationale de la sécurité des systèmes d'information a identifié sur l'année écoulée 5 grandes tendances des menaces cyber allant de l'exfiltration de données stratégiques et du cyber-espionnage aux attaques indirectes, en passant par des opérations de destabilisation ou d'influence, la mise en place de réseaux de cryptominage ainsi que des campagnes de fraudes en ligne orientées vers des cibles moins exposées mais plus vulnérables. « On a constaté une professionnalisation de la sphère cyber avec un niveau de sécurisation des rançongiciels qui s'est accru, les cyberattaquants respectant les bonnes pratiques cyber », a expliqué Cyril Demonceaux, chef de la division Connaissance et anticipation de l'ANSSI. 

Le référentiel PAMS attendu fin 2020

Alors que pendant des années les cyberattaquants ont tenté de forcer la porte du SI des entreprises directement, leur stratégie a évolué au fil des derniers mois en s'attaquant à un autre maillon de la chaîne, à savoir leurs fournisseurs et prestataires qui ont des accès directs à leur SI et constituent donc un maillon faible. A l'instar de ce qui s'est passé en début d'année avec Airbus. « L'attaque Airbus a été faite via un prestataire. C'est un cas où le prestataire a un accès légitime au client et se fait attaquer avec pour cible la victime finale Airbus », a expliqué Guillaume Poupard, directeur général de l'ANSSI. « Quels que soient les efforts, se protéger des attaques complexes sur ses prestataires est difficile au moment où l'entreprise étendue est le sens de l'Histoire ».

Pour pallier cette délicate situation, l'ANSSI travaille ainsi depuis plusieurs mois à l'élaboration d'un référentiel des prestataires d’administration et de maintenance sécurisées (PAMS) qui devrait sortir de terre avant fin 2020. « On ne se précipite pas mais il y aura tout au long des prochains mois avant le référentiel final des recommandations qui seront faites. Il s'agit d'un travail itératif », a souligné Guillaume Poupard. En attendant, une initiative doit également être faite par l'agence - non seulement au niveau français mais aussi à l'échelle européenne via l'Enisa, l'agence européenne chargée de la sécurité des réseaux et de l'information - pour déterminer une responsabilité des activités numériques et systémiques dans la conception et la maintenance des outils de sécurité. 

Des comportements pas encore à maturité

Parmi les autres axes de préoccupation de l'agence, son délégué général a également pointé du doigt la nécessité de mieux accompagner les PME, les collectivités locales et les établissements de santé face à la montée en puissance du risque cyber. Mais du chemin reste à faire en dépit de la mise en oeuvre de la plateforme cybermalveillance.gouv.fr et des actions de sensibilisation de terrain relayées par les délégués régionaux de l'ANSSI. « Les comportements ne sont pas encore tous à maturité tout comme l'application des règles d'hygiène de base cyber », a concédé Guillaume Poupard. « Il y a beaucoup de demandes pour passer par des solutions de sécurité poussées par des centrales d'achat dédiées, à l'image de l'UGAP pour jouer sur les prix ».

Autre élément à considérer par ces organismes, le cloud qui est loin - aux yeux de l'ANSSI - de n'avoir que des mauvaises facettes. Il y a ainsi des solutions cloud « maitrisées » comme Oodrive, labellisé visa sécurité, et OBS ou Outscale dont la qualification va intervenir dans les prochaines semaines ou mois. « Il ne s'agit pas de labels de complaisance mais d'une reconnaissance au sens légal et réglementaire », explique Guillaume Poupard.