Et la cybersécurité devint un sujet de société

Début 2017, à la création du GIP Acyma, qui opère le portail cybermalveillance.gouv.fr, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), ne cachait pas des regrets de ne pas avoir réussi à obtenir des campagnes de communication « sur le modèle de la sécurité routière ». Trois ans plus tard, il aura eu droit à un clip inspiré du Bureau des Légendes. Mieux qu’un lot de consolation ?

Une chose est sûre, si les alertes répétées des experts au cours des dernières années n’ont pas suffi, l’explosion des cyberattaques de rançongiciels de ces derniers mois, et tout particulièrement sur le monde hospitalier, aura fourni le déclic qu’attendaient manifestement les gouvernements français successifs pour prendre le sujet de la cybersécurité au sérieux, au-delà des seuls opérateurs d’importance vitale ou de services essentiels.

Le Président de la République, Emmanuel Macron, a donc annoncé ce midi une allocation d’un milliard d’euros, dans le cadre du plan de relance, à la cybersécurité, dont 720 M€ de fonds publics. À l’horizon 2025, cette enveloppe doit notamment permettre de doubler les ressources qualifiées disponibles sur le marché de l’emploi, et de faire émerger des champions hexagonaux du secteur, « en soutenant l’adoption de [leurs] solutions, par les petites et moyennes organisations, publiques et privées ». Le « Campus Cyber » figure bien sûr en bonne place dans le dispositif.  

Dans le détail, le gouvernement s’est fixé pour objectif de multiplier par trois le chiffre d’affaires de la filière d’ici à 2025, pour atteindre 25 Md€, et faire émerger trois licornes hexagonales, ou encore relever de 20 % le nombre de brevets nationaux en la matière.

Scènes inédites du Bureau des Légendes. pic.twitter.com/sYOBWGnZT9

— Élysée (@Elysee) February 18, 2021

Après avoir sûrement longtemps eu le sentiment de prêcher dans le désert, Jean-Noël de Galzain, président d’Hexatrust, n’a pas manqué de « saluer les annonces du Président de la République de stratégie nationale pour la cybersécurité ». Pour lui, ce plan « montre que la France a pris la mesure de l’enjeu et considère la protection de ses citoyens, de ses entreprises et de ses infrastructures comme une priorité majeure ». Et s’il estime « vital » que ce plan soit une réussite, il assure le gouvernement de « la totale mobilisation d’Hexatrust et de ses membres pour répondre à sa demande ».

Et de souligner espérer que « le programme de soutien annoncé l'égard des collectivités et des hôpitaux mette en œuvre prioritairement des solutions de cybersécurité et d'hébergement des données élaborées dans notre pays et dont nous avons le contrôle. Chaque euro investi dans ce plan, doit être investi dans nos sociétés de croissance ».

De son côté, Syntec Numérique n’a pas manqué de se réjouir « par ailleurs de l’attribution à l’ANSSI d’un budget complémentaire destiné à renforcer la cybersécurité des organismes critiques de la sphère étatique ».

Si l’épisode du CHU de Rouen, à l’automne 2019, n’avait manifestement pas suffi à déclencher une véritable prise de conscience, celles qui lui ont succédé dans le secteur de la santé, et jusqu’à tout récemment à Dax et Villefranche-sur-Saône, l’auront assuré. Il faudra donc compter sur 30 M€, pris sur les 2 mds € du Ségur de la Santé, pour remédier à l’état déplorable – d’un avis largement partagé – du secteur en matière de cybersécurité. Et le Président de la République de demander que « 5 à 10 % des budgets pour chaque programme numérique » soit affecté « au maintien de la sécurité des systèmes d’information dans la durée ».

Car pour Emmanuel Macron, le risque est là « vital ». D’où la création d’un observatoire permanent du niveau de sécurité des établissements de santé, qui aura pour mission de « coordonner tout le travail et de surveiller les vulnérabilités », ainsi que de « mutualiser les expériences ». Plus encore, assure le Président de la République, la « sensibilisation à la cybersécurité sera systématiquement intégrée aux cursus de formation ».

Mais certains n'apprécieront probablement que très modérément toutes ces orientations, et l'on pense en particulier au Cigref, qui appelait encore tout récemment, par la voix d'Henri d'Agrain, son délégué général, sur LinkedIn, à ne plus fustiger les victimes de cyberattaque pour négligence, notamment. Le Président de la République n'a pas été tendre : pour lui, les cyberattaques « s'appuient souvent sur des négligences », sur la gestion de l'authentification, sur la sensibilisation, ou sur la gestion des correctifs. Parce que « les cyberattaquants ciblent le maillon le plus vulnérable et s'appuient », justement, « sur des négligences ».