Réalisé à partir d’une analyse collégiale et de terrain, conduite en partenariat avec la gendarmerie nationale, le Mouvement des entreprises de taille intermédiaire (METI) et le groupe La Poste, le rapport de l’Institut Montaigne, intitulé « Cybersécurité : passons à l’échelle », a été publié en juin dernier. Le groupe de travail, auquel a participé le chef d’escadron Jean-Baptiste Fontenille, expert associé de l’Institut pour les questions de cybersécurité, a auditionné de nombreux acteurs de terrain, ceux qui vivent ces enjeux de cybersécurité au quotidien.

Organisée à la Direction générale de la gendarmerie nationale, jeudi 28 septembre, à l’initiative du Centre d'études et de documentation (CED), une table ronde a permis de présenter les conclusions dudit rapport, et d’aborder plus généralement la lutte contre les cybermenaces à l’échelle des territoires, dont la gendarmerie nationale, par son maillage, est évidemment un acteur incontournable.

Une plus grande surface d’attaque pour les cybercriminels

Le constat a été rappelé en préambule. Depuis les premiers faits de rançongiciels, en 2017, le nombre de cybercriminels a augmenté de manière très importante, et la menace vient désormais de partout, sans aucune frontière. Les grosses structures, qu’il s’agisse des administrations de l’État ou des grandes entreprises, ont su mettre en place des protections efficaces. En toute logique, les cyberattaques se sont donc concentrées sur des structures plus petites et plus vulnérables, comme les TPE/PME, les petites collectivités locales ou les hôpitaux.

D’autant que, dans le même temps, ces structures ont été de plus en plus nombreuses à se doter de sites Internet, pour présenter leur activité ou faire du e-commerce, augmentant de fait la surface d’attaque pour les cybercriminels. Or, ces cibles potentielles ne sont pas toutes conscientes du risque qu’elles encourent. Plus d’un quart d’entre elles pensent ainsi ne pas être concernées. Et celles qui en sont conscientes ne savent pas réellement quoi faire pour se protéger. Il s’agit d’un enjeu majeur de résilience économique et sociale, la moitié des PME attaquées faisant faillite après une cyberattaque.

La nécessité d’un plan de continuité d’activité

Participant à cette table ronde, le général Christophe Husson, commandant du ComCyberGend (Commandement de la gendarmerie dans le cyberespace) a rappelé que, pour lutter contre ces cybermenaces à l’échelon local, 9 000 cybergendarmes étaient répartis sur le territoire, en métropole comme en outre-mer, avec une triple mission : prendre en compte les victimes de cyberattaques, et acculturer les autres gendarmes de l’unité pour qu’ils puissent aussi accueillir ces victimes ; faire de la prévention auprès des particuliers, des entreprises et des collectivités ; mener des investigations sur le volet cyber des enquêtes.

Le chef du ComCyberGend a aussi souligné la mise en place, en 2022, du pré-diagnostic Di@gonal, à destination des collectivités territoriales, dont il permet de mesurer le niveau d’hygiène numérique. « Plus de 1 300 pré-diagnostics ont ainsi été réalisés, a-t-il détaillé. Il en ressort notamment que plus de 30 % des collectivités ont déjà été victimes d’une attaque cyber et qu’une sur 10 a déjà connu une attaque par rançongiciel. En termes d’organisation, on observe deux sujets majeurs. D’abord, que le problème arrive le plus souvent par l’intermédiaire, bien malgré lui, de l’usager, qu’il convient donc de sensibiliser davantage. Ensuite, second point majeur, le plan de continuité d’activité - prévoyant comment poursuivre son activité en mode totalement dégradé - qui existe rarement dans les petites structures, mais qui doit s’anticiper, se préparer et se jouer. »

Des gendarmes lanceurs d’alerte

Le général Christophe Husson a également rappelé que les gendarmes sont avant tout des lanceurs d’alerte. « Ce ne sont pas eux qui vont mettre à niveau les systèmes d’information d’une collectivité ou d’une entreprise, a-t-il expliqué. Notre rôle est d’orienter vers le groupement d’intérêt public cybermalveillance.gouv.fr, qui possède un référentiel d’entreprises labellisées pour pouvoir faire des audits et se remettre ensuite à niveau. » Le général a enfin insisté sur l’importance de déposer plainte systématiquement et de signaler les faits sur les différentes plateformes (Perceval, Thésée).

Publié en juin 2023, le rapport de l’Institut Montaigne envisage les nouveaux risques cyber liés à la généralisation du télétravail, à l’externalisation de la sécurité numérique et au développement de l’I.A. Le rapport préconise dix actions concrètes pour un rehaussement collectif du niveau de cybersécurité sur le territoire, parmi lesquelles la mise en place d’un système de badges de maturité pour aider les structures à prioriser leurs arbitrages, l’organisation d'une simulation annuelle d'alerte cyber (équivalent de l’« alerte incendie »), ou encore l’instauration d’une fonction de conseiller à la sécurité numérique auprès de chaque responsable de structure (dirigeant d’entreprise ou élu) pour accompagner celui-ci sur les questions de cybersécurité.