PME, établissements de santé et collectivités locales, les grands oubliés de la Cybersécurité ?

Aujourd’hui les PME, établissements de soins, collectivités locales sont des cibles particulièrement visées par la cybercriminalité. Pourquoi un intérêt grandissant des hackers vis-à-vis de ces entreprises ?

1.      Un manque chronique d’investissement en cyberdéfense

Aujourd’hui face aux cyberattaques de type Phishing[1] et de Ransomware, ces structures sont souvent démunies. De manière générale, l’investissement réalisé dans la sensibilisation des collaborateurs est faible comparé à l’investissement dans la sécurité du Système d’Information alors que les collaborateurs constituent la première ligne de défense.

Par ailleurs ces organisations souffrent de l’absence de compétences spécialisés en sécurité informatique au sein de leur organisation. Trop chère, trop rare, les organisations peuvent éventuellement déléguer la protection de son système d’information à un tiers, mais cela ne résout pas le problème des collaborateurs non vigilants aux phishing et autres arnaques. Par ailleurs l’accès à des prestataires pour les aider dans la remédiation de ces attaques est difficile car ces prestataires sont trop centralisés sur la région parisienne. Enfin un hôpital peut-il investir alors qu’il a déjà des difficultés à assurer le fonctionnement au quotidien. Résultat, nous avons des PME placées en règlement judiciaire comme Lise Charmel en mars 2020. Par ailleurs l’ANSSI ne pourra pas se déplacer pour tous les établissements de santé à l’arrêt suite à une cyberattaque comme le CHU de Rouen en novembre 2019.

Bien sur certains diront qu’il faut sensibiliser les salariés, patrons et directeurs de ces organisations aux bonnes pratiques, c’est certainement vrai. Mais en attendant une prise de conscience collective et pérenne en la matière, rien n’est vraiment prévu pour les aider à faire face à une cyberattaque.

2.      La sécurité des PME, talon d’Achille des grands donneurs d’ordre.

Les grands groupes investissent massivement dans des organisations dédiées Cyber mettant en œuvre des SIEM, SOC, CERT et des équipes de réaction aux cyberattaques afin de mieux surveiller leurs infrastructures mais ce type d’investissement est hors de portée des PME.

Pourtant ces PME sont des acteurs importants de l’écosystème de ces entreprises. Les cybercriminels l’ont bien compris en ciblant particulièrement ce type d’entreprise afin d’attaquer par rebond ces grands groupes. Ce n’est malheureusement pas les clauses contractuelles, accord de confidentialité et autre audit des fournisseurs qui permettent de garantir une bonne protection de l’écosystème au quotidien.

Par ailleurs certaines de ces PME maîtrisent des technologies souveraines et innovantes, et sont une cible particulièrement exposée à l’intelligence économique et au pillage de leurs données étant donné la faiblesse de leur défense face à ces cyberattaques.

Face à la concurrence économique et les investissements en R&D, l’investissement dans la cyberdéfense ne s’avère pas une priorité même si ces patrons de PME ont conscience que c’est un enjeu important.

3.      Une réponse partielle par les dispositifs en place.

Du coté de l’état, l’ANSSI se concentre, à juste titre, sur les grandes administrations, les OIV[2] et OSE[3], mais l’agence ne peut répondre à toutes les demandes pourtant légitimes d’assistance à ces cyberattaques de ces structures de taille moyenne. La cyberdéfense régalienne concerne les intérêts vitaux de l’état. Dans un monde ou les cyberattaques sont devenus une arme de choix dans la déstabilisation de ces états, l’agence a déjà fort à faire pour défendre nos intérêts et assurer la protection de ses citoyens.

Cybermalveillance.gouv.fr de son côté propose une réponse dans l’identification de la cyberattaque et la mise en relation avec des prestataires susceptibles d’aider l’entreprise. Son principe de fonctionnement, par questions sur le site WEB, est bien adapté pour des particuliers et TPE[4] qui ont des problématiques relativement simples en matière de cyberattaques. C’est une avancé intéressante. Concernant les structures plus importantes (PME, établissements de santé, collectivités locales), la réponse à un questionnaire ne suffit pas à répondre à des besoins plus complexes que ceux d’un particulier.

En conclusion, un modèle à construire

Face à ces constats, il convient d’affiner les dispositifs de notre cyberdéfense afin d’adresser au mieux les besoins des PME/ETI, Etablissements de soins et collectivités locales. Les régions ont un rôle à jouer car aujourd’hui, les conséquences d’une cyberattaque peuvent avoir des impacts sur le développement économique et l’emploi, mais aussi dans le fonctionnement des collectivités locales. L’ANSSI aussi le pense comme Guillaume Poupard l’a indiqué le 13 octobre lors de l’inauguration du C2RC[5] de la région Sud Provence-Alpes-Côte-d’Azur. Le positionnement du C2RC s’inscrit dans la complétude d’un dispositif.

La réponse à ces cyberattaques par un service régional au plus près de ces structures devient une évidence. Pourquoi ne pas disposer d’un service de premiers secours comme nous l’avons déjà avec le SAMU pour les citoyens. Le modèle économique reste à construire gratuit/payant mais il est certain qu’une partie du coût doit pris en charge par la collectivité.

Enfin si ce service de réponse à incident existe, il reste à convaincre les prestataires historiques en cybersécurité d’investir dans des structures en région afin de disposer d’un maillage au plus près des victimes de Cyberattaque afin d’assurer la remédiation.

Après avoir investi de manière importante dans la création de formations spécialiste en cybersécurité dans les écoles et universités de nos régions, il serait pertinent que ces jeunes diplômés puissent trouver naturellement un débouché local dans leur domaine de compétence.

En cela l’initiative de la Région Sud Provence-Alpes-Côte-d’Azur avec la création du C2RC est une première en France mais préfigure certainement d’autres structures à venir dans les autres régions.

[1] Typologie des cyberattaques concernant les PME : 24% Phishing, 20% Malware, 16% Ransomware selon une enquête en 2019 de la CPME auprès de 374 patrons d’entreprise de -50 salariés.

[2] Opérateur d’Importance Vitale issue de la Loi de programmation militaire (LPM)

[3] Opérateur de Service Essentiel définit au sein de la directive Européenne Network and Information System (NIS) de 2016

[4] TPE : entreprise < 10 salariés et 2M€ de CA.

[5] Centre de Ressources Régional Cyber