Couverture du journal du 23/02/2024 Le magazine de la semaine

[Cyberdéfense] Entretien avec Brunessen Bertrand, professeure de droit à Rennes 1 : la souveraineté européenne s’organise

Obligations en matière de normes cyber, formes émergentes d’attaques… Dans un monde numérique sans frontières, le cadre juridique est-il suffisant pour se prémunir ? Rencontre avec Brunessen Bertrand, professeure en droit public, spécialisée en droit du numérique, à l’Université de Rennes 1 et auditrice à l’Institut des hautes études de défense nationale (IHEDN).

Brunessen Bertrand ©Studio Carlito

Brunessen Bertrand ©Studio Carlito

7J. Quelles sont les évolutions récentes du cadre juridique qui régit la cybersécurité ?

Brunessen Bertrand. Transposée dans quelques mois en droit français, la directive européenne NIS 2 va obliger des milliers d’entités privées et administrations à renforcer leurs normes de sécurité, comme un RGPD en matière de cyber. Cela va représenter des investissements importants et les sanctions en cas de non-respect pourront être très fortes. D’autres textes complètent le cadre européen, très substantiel : le Cyber Resilience Act, qui fixe des règles communes concernant les objets connectés, le commissaire européen Thierry Breton a également parlé d’un « cyber bouclier » européen, ou encore le référentiel de l’European Union Agency for Cybersecurity (ENISA).
En France, le code de cybersécurité rassemble les multiples dispositions, disséminées dans des textes différents. Il y a aussi le référentiel national de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Un RGPD en matière de cyber

7J. Le cadre est-il suffisant ?

BB. L’enjeu n’est plus de produire des textes, au risque que cela devienne illisible. L’enjeu maintenant est la bonne application du cadre et l’articulation entre les agences nationales de cybersécurité. Il y a également un défi de pédagogie. L’ANSSI se prépare au changement d’échelle qu’implique NIS 2, il va falloir expliquer les obligations à des milliers de conseillers municipaux et dirigeants de petites entreprises.

60% des PME cyberattaquées déposent le bilan dans les 6 mois suivants

7J. Y a-t-il des services et des magistrats spécifiquement formés aux enjeux cyber ?

BB. Le Tribunal de Paris compte un parquet spécialisé, la section J3, avec 5 magistrats et des greffiers. Il existe un service de gendarmerie, le ComCyberGend, qui mène des enquêtes à grande échelle, en développant des outils extrêmement pointus. La difficulté est qu’en cyber les frontières nationales sont vite dépassées et les polices d’autres pays peuvent être plus ou moins coopératives.

7J. La cybersécurité est indissociable de la question de souveraineté numérique. À l’échelon national ou européen : y a-t-il une réelle volonté politique sur ce sujet ?

BB. La France porte cette idée et a une position singulière ; certains États européens, plus favorables à l’alliance Atlantique, n’ont pas la même vision de la souveraineté numérique. L’Allemagne par exemple ne reprend pas cette notion, ni les pays du Sud de l’Europe. En France, c’est une vraie préoccupation. Toutefois, c’est parfois difficile à mettre en place dans les arbitrages. Nous l’avons vu lorsque le gouvernement a décidé d’héberger les données de santé des Français sur les serveurs de l’américain Microsoft (au détriment du français OVH, ndlr). En revanche, des mesures ont été prises sur les infrastructures 5G, avec l’interdiction de certains équipementiers chinois, comme Huawei.

7J. Où en sont les entreprises ?
BB. En général, tant qu’une entreprise n’a pas été attaquée, elle délaisse sa cybersécurité.

BB. Certaines entreprises pensent que leurs données sont sans importance. Or les attaques sont aléatoires. Une cyberattaque, même peu sophistiquée, peut faire beaucoup de dégâts. 60% des PME cyberattaquées déposent le bilan dans les 6 mois suivants. Si la cybersécurité est régulièrement au coeur de l’actualité – entreprises en faillite, CHU attaqués – la prise de conscience est lente. Sans parler de la mise en oeuvre opérationnelle des normes de sécurité, qui représentent un coût pour les TPE – PME, et du manque de compétences. Même les autorités de régulation connaissent des difficultés de recrutement. Les très bons profils sont vite repérés par les entreprises américaines.

7J. Quelles sont les attaques les plus fréquentes et quels conseils donner aux entreprises ?

BB. Fishing, rasomwares, attaques en déni de service, les attaques se sophistiquent. Sur les intelligences artificielles, de nouvelles formes de malveillances apparaissent également, empoissonnement de données, attaques sur les systèmes de machine learning, sur les objets connectés… Les conseils : ne pas payer la rançon, porter plainte et informer l’ANSSI.