Et si les entreprises de cybersécurité avaient une mission de service public ?

Entreprises de cybersécurité et mission de service public | Stormshield

Pendant la crise sanitaire du Covid-19, la désorganisation numérique générale a rendu entreprises, hôpitaux et administrations publiques particulièrement vulnérables aux attaques informatiques. Plus que jamais, le rôle des entreprises de cybersécurité s’est avéré déterminant pour protéger ces services vitaux, essentiels au fonctionnement d’un pays. Suffisant pour aller jusqu’à dire que le secteur poursuit une mission de service public ?

 

Le passage massif au télétravail, parfois dans l’urgence et sans préparation, ainsi que la désorganisation générale numérique ont constitué un terrain de jeu idéal pour les cybercriminels. Et ce, à travers le monde. Aux États-Unis, le FBI a vu le nombre de plaintes concernant des cyberattaques être multiplié par 4. En France, le site Cybermalveillance.gouv.fr notait quant à lui une hausse de 400% de son trafic lors des deux premières semaines du confinement.

 

La cybersécurité, un besoin d’intérêt général

« Les trois mois que nous venons de passer ont montré que le numérique fait fonctionner la société et l’économie d’aujourd’hui, observe Matthieu Bonenfant, directeur marketing de Stormshield. Ils ont aussi montré que le passage du travail au tout numérique (utilisation du matériel informatique au domicile du salarié, visioconférences, usage plus massif du cloud…) ne se fait pas sans préparation et sécuriser ces usages est une nécessité. Cette crise a permis de mettre en évidence la cybersécurité comme élément essentiel de la sauvegarde du patrimoine et de la continuité des activités des entreprises ou des organisations. Ce rôle essentiel est encore plus marqué dans les secteurs d’activité sensibles, comme la distribution d’eau potable, la production d’énergie ou la régulation des transports. Dans ces environnements, les conséquences de cyberattaques peuvent être catastrophiques et porter atteinte à l’intégrité des biens et des personnes. »

Le numérique est omniprésent. Le protéger est devenu un sujet critique et vital

Matthieu Bonenfant, Directeur Marketing Stormshield

Bien sûr, les gouvernements n’ont pas attendu le Covid-19 pour prendre conscience de l’importance de la cybersécurité. Son caractère primordial a été officialisé en France dès 2005, puis au sein de l’Union européenne avec la directive NIS en 2018, directement inspirée de la loi de programmation militaire française. Ces réglementations reconnaissent qu’il est indispensable d’assurer la protection cyber des opérateurs d’importance vitale (OIV) et des Opérateurs de service essentiels (OSE) car leur interruption ou leur dysfonctionnement pourraient avoir des conséquences sur la vie humaine et l’environnement.

Mais la crise a rendu le sujet visible aux yeux du plus grand nombre. « Le grand public s’est rendu compte que des services publics comme des hôpitaux pouvaient aussi être touchés et que les conséquences pouvaient être graves », note Manon Deveaux, en charge des sujets cybersécurité au sein de l’équipe Affaires publiques de TECH IN France. Outre les hôpitaux, ce sont aussi des collectivités qui ont été attaquées pendant la pandémie. La ville de Marseille a notamment été paralysée pendant plusieurs semaines à cause d’un rançongiciel. Un incident qui n’est pas sans rappeler l’attaque successive de 22 municipalités américaines en 2019. Et qui s’inscrit dans la lignée d’une tendance phare des dernières années : la perturbation de la vie démocratique et les cyberattaques fréquentes lors de campagnes électorales.

 

Pendant la crise, le secteur de la cyber vent debout contre les malveillances

En fournissant des solutions pour protéger des services aussi essentiels qu’un hôpital ou un système de vote, les sociétés de cybersécurité auraient-elles de facto une mission d’intérêt général, voire de service public ? Pendant la pandémie, la communauté cyber a en tout cas pris son rôle protecteur très à cœur, à l’image de l’éditeur de VPN The Green Bow, qui a mis à disposition ses produits à titre gracieux aux entreprises voulant protéger leurs télétravailleurs. Et de nombreux autres acteurs du secteur ont proposé leur aide aux hôpitaux et entreprises sans contrepartie financière. « Dans ce contexte si particulier, les organisations avaient plus que jamais besoin d’infrastructures IT et OT sécurisées. Nous avons ainsi offert des licences de nos appliances virtuelles, à destination de toutes les entreprises. Plus d’une soixantaine en ont profité. En parallèle, nous avons mis en place des formations à distance, pour remplacer nos formations en présentiel, et proposé des facilités pour upgrader des pare-feux », décrit Matthieu Bonenfant.

Au Royaume-Uni, des chercheurs en cybersécurité ont constitué le groupe Cyber Volunteers 19. Le but est de mettre en relation les institutions victimes de cyberattaques et les acteurs de la cyber souhaitant se porter volontaires. « Le message que nous envoyons aux cybercriminels c’est que nous restons aux côtés de nos services publics. Attaquer un hôpital à n’importe quel moment est honteux, mais pendant le chaos d’une pandémie, c’est révoltant », explique Lisa Forte, créatrice de Cyber Volunteers 19 au magazine Wired.

Cette vague de solidarité est une réponse exceptionnelle à une situation de crise. Mais elle semble bien montrer que le secteur de la cybersécurité poursuit, dans les faits, une mission d’intérêt général.

 

Vers un service public cyber et un droit à la cyberprotection ?

Si cette mission n’est pas officialisée par un statut juridique, elle est inscrite dans la culture même des entreprises de cybersécurité. « Les acteurs de la cybersécurité ont conscience de leur mission, note Manon Deveaux. Ce que l’on ne retrouve pas dans beaucoup d’autres secteurs. Cette conscience est certainement liée à la culture de la cybersécurité, où l’on trouve notamment des groupes de hackers éthiques, et au fait que les enjeux de ce secteur sont des enjeux de défense nationale et de politique, au sens d’aide à la cité. »

Comment se traduit ce sens de la mission hors situation de crise ? « Pour nous, cette prise en compte de l’intérêt général est passée par une accélération du développement de nos offres à destination des entreprises du domaine industriel opérationnel, celles notamment qui fournissent des services clés aux citoyens, explique Matthieu Bonenfant. Nous leur garantissons une cyber-sérénité pour qu’elles puissent mener à bien leur mission de service public. » Mais les entreprises de cybersécurité n’ont pas pour autant le statut de service public. Elles ne sont pas tenues de fournir un service accessible à tous, égal pour tous, en continu. « Une mission de service public a une définition très particulière qui peut difficilement s’appliquer aux entreprises du secteur – car il s’agit d’un service fourni par l’État ou une organisation agissant sous son contrôle, rappelle Jean-Jacques Latour, expert en cybersécurité chez Cybermalveillance.gouv.fr. En revanche, on peut dire que les entreprises cyber ont une mission d’intérêt public puisqu’elles luttent contre des attaques qui menacent les citoyens ou la souveraineté d’un pays. »

On peut dire que les entreprises cyber ont une mission d’intérêt public puisqu’elles luttent contre des attaques qui menacent les citoyens ou la souveraineté d’un pays

Jean-Jacques Latour, expert en cybersécurité chez Cybermalveillance.gouv.fr

Cette mission, certaines entreprises françaises l’exercent notamment en rejoignant le groupement d’intérêt public (GIP) ACYMA, qui pilote depuis 2017 la plateforme Cybermalveillance.gouv.fr. Celle-ci sensibilise citoyens et entreprises aux risques cyber, aide les victimes et les met en relation avec des prestataires si besoin. « Jusqu’à il y a peu, il y avait un vide entre d’un côté les organisations-clés protégées par l’ANSSI et le reste des victimes cyber (les TPE, PME et particuliers) qui ne savaient pas toujours à qui s’adresser », explique Jean-Jacques Latour. « Chez Stormshield, nous avons rejoint le GIP ACYMA comme une cinquantaine d’autres membres car nous estimons que nous participons à une mission, à un effort collectif de sensibilisation qui dépasse les enjeux commerciaux », estime Matthieu Bonenfant. Un rôle d’autant plus essentiel que les sujets cyber sont souvent perçus comme purement techniques. Le grand public – et même les entreprises – se montrent parfois réfractaires. « La cybersécurité est encore vécue comme une contrainte », confirme Jean-Jacques Latour.

 

Une problématique de droits de l’homme ?

Mais le GIP ACYMA est-il suffisant pour poursuivre cette mission de sensibilisation et de protection ? Faudrait-il imaginer une entreprise publique de cybersécurité ? Matthieu Bonenfant en doute. « Une structure centralisée ne me paraît pas une bonne idée. Il faut qu’il y ait un écosystème hétérogène et diversifié pour conserver de l’agilité dans le développement des technologies, avance-t-il. De plus une telle structure ne permettrait pas d’avoir une vision européenne de la cybersécurité. Je crois davantage au modèle de l’agence nationale comme l’ANSSI, qui accompagne, qui aide, qui s’assure qu’il existe un écosystème viable, qui chapeaute des initiatives comme Cybermalveillance.gouv.fr... plutôt qu’une structure étatique plus lourde. »

Et quid d’un droit à la cyberprotection pour chaque individu ? Des ONG comme Human Right Watch plaident en tout cas pour que la cybersécurité soit traitée comme un sujet relatif aux droits de l’homme. Certaines cyberattaques relèvent en effet de la violation aux droits fondamentaux comme la protection de la vie privée, l’accès à l’information ou encore la liberté d’expression – voir désormais le RGPD. C’est le cas lorsque l’Arabie Saoudite est soupçonnée d'infiltrer les téléphones portables de journalistes et d’activistes ou de leurs connaissances via des logiciels espions.

 

Un droit à la cyberprotection serait certainement difficile à concevoir et faire respecter car « très étendu », estime Manon Deveaux. Mais le reconnaître pourrait en tout cas accélérer la prise de conscience de l’importance de la cybersécurité au sein des entreprises, et chez chaque individu.

Partager sur

Récemment, Stormshield a fait évoluer son positionnement pour devenir la référence européenne de la cybersécurité en matière d’infrastructures critiques, de données sensibles et d’environnements opérationnels. L’aboutissement d’un travail de fond mené ces deux dernières années.

À propos de l'auteur

mm
Pierre-Yves Hentzen
Président, Stormshield

La carrière de Pierre-Yves, qui allie expertise financière, managériale et entrepreneuriale, débute en 1989. Ayant rejoint Arkoon en 2001 au poste de Directeur administratif et financier et membre du Directoire, Pierre-Yves a conservé cette fonction lors du rapprochement Arkoon-Netasq en 2013. Après avoir été nommé Directeur général délégué en 2015, il est nommé Président de Stormshield en 2017.