La lutte contre les menaces cyber accélère ! Présenté en Conseil des ministres en octobre, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a également été déposé sur le bureau du Sénat. Un texte qui doit permettre de transposer trois directives européennes et de renforcer l’arsenal législatif du gouvernement en matière de cybersécurité. Mais alors, que contient ce texte ? Quelles sont les prochaines étapes ?
Category
🗞
NewsTranscription
00:00Pour notre grand rendez-vous cyber aujourd'hui j'ai convié en plateau
00:07Garance Mathias. Bonjour Garance. Bonjour Delphine. Vous êtes avocate, fondatrice,
00:12dirigeante de Mathias Avocat. C'est un cabinet dont les activités principales
00:14sont la cybersécurité, le droit du numérique et la conformité. A vos côtés
00:19Jérôme Billois. Bonjour Jérôme. Bonjour. Associé au sein du cabinet
00:23WaveStone sur la cybersécurité et la confiance numérique et je précise
00:27vous êtes également administrateur du Clusif. Alors on va commencer puisqu'on va
00:31faire un petit tour d'horizon des grandes actualités dans ce domaine de
00:34la cyber par le projet de loi français dont le nom est relatif à la résilience
00:39des infrastructures critiques et au renforcement de la cybersécurité et dont
00:43l'objectif est de transposer véritablement trois directives européennes.
00:47La directive REC sur la résilience des entités critiques, la directive NIS2
00:53dont on a beaucoup parlé qui étend en fait les responsabilités cyber à
00:58davantage d'organisations et le règlement DORA qui va, alors là on va
01:04avoir un débat spécifique là dessus, qui va un peu changer le camp de la
01:08responsabilité sur la protection de nos outils numériques. Ce projet il va être
01:12porté par Clara Chappaz. Qu'est ce que vous en attendez et j'ai envie de dire
01:16est-ce que le retard pris, parce qu'on est déjà un petit peu en retard sur ce
01:20texte, vous inquiète ? Qui veut commencer ? Jérôme. Alors sur le retard il faut voir
01:25que le retard est relatif à l'échelle européenne.
01:27Il y a aujourd'hui très peu de textes qui ont été validés dans chacun des
01:32pays parce que la directive doit être déclinée dans chacun des pays. Par
01:34contre c'est vrai que ça crée un peu un espèce de faux départ. Il y a énormément
01:38d'attentes aujourd'hui dans toutes les filières cybersécurité. Les
01:41responsables cybersécurité regardent ce sujet et se disent mais qu'est ce qu'on
01:45va faire ? Comment on va le faire ? La directive pose un cadre qui est très
01:48intéressant et qui je pense va dans le bon sens mais par contre on manque
01:51aujourd'hui des détails sur la manière dont on va réellement devoir modifier
01:55les règles de sécurité sur le terrain et ça crée beaucoup d'incertitudes pour
01:58créer les budgets 2025 et pour pouvoir être en action rapidement et je pense
02:02qu'il faut vraiment que ça débouche vite maintenant pour qu'on puisse
02:05attaquer le travail. Et qu'est ce qu'on en attend alors ? Est-ce qu'on en attend
02:09des textes très rigoureux ? Un assouplissement au contraire par rapport à
02:13ce qui est pensé au niveau européen ? Alors effectivement ce sont des textes
02:19qui sont ambitieux. Je rejoins ce que vient de dire Jérôme. Il y a des
02:22attentes actuellement, des attentes qui sont très très fortes de la communauté
02:25et de tous les secteurs industriels. Encore une fois ces textes ont une
02:29philosophie commune. C'est mettre un niveau de sécurité, de cybersécurité
02:34élevé pour l'ensemble des organismes secteur privé, secteur public. Donc on
02:39voit l'ambition. On voit l'ambition, on voit sur le terrain beaucoup de questions.
02:44Beaucoup effectivement des questions on va dire positives. Mais comment je vais
02:49faire pour notifier ? Comment je vais faire effectivement pour adapter ce texte
02:53qui aurait dû être transposé effectivement le 17 octobre dernier ?
02:58Ce retard il est classique mais il faut effectivement qu'actuellement on ait un
03:03cadre pour que les entreprises, les administrations, les collectivités
03:07puissent se mettre en conformité. Et l'AMCI a dit on se donne au moins trois
03:11ans, plus de trois ans de toute façon pour commencer à surveiller les
03:15applications dans les organisations. Ca veut dire que ça va être complexe
03:19quand même à mettre en oeuvre ? Je pense que c'est sage d'avoir ce type de
03:22délai parce qu'en fait il faut voir qu'il y a deux grands types
03:27d'entreprises ou d'organisations publiques qui vont être soumises. Il y a les très
03:30grandes qui étaient déjà en partie régulées où finalement les exigences
03:34vont élargir très largement ce qui doit être sécurisé. Donc c'est voir ça
03:39couvre l'ensemble du système d'information et tous ses composants.
03:42Dans une entreprise qui a plusieurs centaines de milliers d'ordinateurs,
03:45plusieurs dizaines de milliers de serveurs, c'est des choses qui ne peuvent
03:48pas être faites instantanément en une semaine. Et d'autre part on a tout le
03:52reste de l'écosystème, on parle de 15 000 sociétés qui vont devoir être
03:56soumises sans compter tous les organismes publics qui eux on le sait ont un niveau
04:01de sécurité qui est souvent très faible et donc il faut qu'ils attaquent, il faut
04:04qu'ils démarrent le sujet. Et donc va se poser cette question générale du
04:09délai et aussi des capacités à disposition sur le marché pour pouvoir
04:13réaliser les actions. Parce qu'on sait on manque de bras en
04:16cybersécurité, tout le monde va vouloir recruter...
04:19On manque pas d'offres logicielles pourtant ?
04:21D'offres logicielles non, ça c'est sûr. Mais par contre un logiciel c'est bien et ce qu'il
04:25faut surtout pas, et ça j'attire l'attention parce qu'on l'avait vu sur
04:27le RGPD, le fameux règlement sur les données personnelles, qu'on soit dans une
04:31espèce d'achat frénétique de solutions logicielles qui disent si vous cliquez
04:36là et que vous achetez ça vous êtes conforme. Ca n'est pas ça. Le coeur même
04:39de tous ces textes c'est de dire quels sont les risques de la structure, comment
04:44je vais les gérer et qu'est ce que je dois sécuriser. Et finalement l'achat de
04:47logiciels ou de solutions matérielles, oui il faudra certainement en faire mais
04:51c'est la fin du cycle, c'est certainement pas le début.
04:53Bon, c'est les éditeurs qui vont être contents en vous écoutant.
04:57Garance, quels sont les points de vigilance peut-être et les complexités
05:01qu'il va falloir aborder rapidement ?
05:04Je disais effectivement de la maturité. La maturité pour les entreprises qui est très
05:08difficile à avoir sur ce secteur qui est complexe. Qui est complexe puisque en fait
05:12si on prend le texte de la Transposition, il y a trois textes. Trois textes qui vont
05:18peut-être tous dans le même sens. Renforcement de la cybersécurité mais
05:21qui n'ont pas les mêmes cibles. Dora, c'est le secteur financier donc
05:26un secteur on va dire spécifique qui connaît déjà la réglementation puisque
05:31dans le secteur financier il y a déjà un ADN on va dire de conformité, un ADN de
05:35contrôle interne. Donc il y a on va dire une déjà une
05:38certaine maturité dans l'approche cybersécurité. Je ne dis pas que les
05:42obligations vont pas être renforcées avec la chaîne des prestataires, avec
05:46effectivement une volonté de gouvernance accrue, de gestion du risque.
05:49Donc c'est le texte on va dire Dora. Il y a le texte effectivement NIS2.
05:54L'ambition je viens de le dire est extrêmement vaste puisque c'est des
05:57organismes publics, privés avec différentes catégories et certaines
06:02entreprises qui étaient déjà concernées par NIS1 et qui se retrouvent dans déjà
06:07un peu plus avancé que des collectivités. Et on sait qu'il y a peu de moyens dans
06:11les collectivités. Les débats actuellement sur la loi de
06:15finance se font écho sur la capacité des collectivités.
06:19Donc on est dans une disparité avec une ambition très forte. Les cyberattaques on
06:25en entend parler tous les jours. Donc une volonté effectivement de renforcer les
06:29infrastructures. NIS2, d'accompagnement, de gouvernance, de gestion du risque,
06:34de couvrir aussi les systèmes d'information.
06:36Mais qu'est-ce que vous allez surveiller en particulier, très vite parce qu'on va passer à notre autre sujet après,
06:39qu'est-ce que vous allez surveiller en particulier là dans le projet de loi qui
06:43va être présenté ?
06:45Alors déjà il va y avoir la fameuse commission des sanctions.
06:47Je commence peut-être par les sanctions, mais effectivement tout texte, en droit, il va y avoir des sanctions.
06:54Il y a donc qui va être soumis à ces sanctions. Le débat parlementaire va être
06:58très intéressant. On commence par le Sénat effectivement, qui va être soumis
07:02par les sanctions. Il y a aussi les délais. Alors la
07:08directive fixe des délais de notification, de notification de
07:12vulnérabilité significative. On est sur des textes techniques. Déjà là en
07:16abordant avec Jérôme, on voit que c'est très technique. Donc quels sont les
07:19délais ? Quelles sont effectivement les attentes quand on notifie par exemple
07:23l'Agence nationale de sécurité des systèmes d'information ?
07:26On a déjà un instrument qui est utile. C'est que le 17 octobre dernier, il y a un
07:31acte d'exécution qui a été pris au niveau de la Commission européenne.
07:34Cet acte d'exécution, on va dire que c'est pour faire un parallèle, ça va être un
07:38petit peu toutes les bonnes mesures à mettre en place communes à l'ensemble
07:43des Etats membres. Ça c'est important en matière de sécurité, de cybersécurité.
07:47Donc ça va être un petit peu un guide pratique. Ces enjeux sont là. Les
07:52délais, la transposition, comment on va gérer au quotidien ? Il y a cette attente
07:58et les sanctions qui sera concernée.
08:01Allez on passe au deuxième sujet, c'est le Cyber Resilience Act, le CRA. C'est
08:07moche comme acronyme mais bon. Alors on va voir justement si ça c'est enfin une
08:12bonne nouvelle avec un partage de responsabilités qui pourrait devenir
08:15équitable puisqu'on nous dit, c'est quand même un enjeu assez majeur, que
08:19cette loi va renforcer la cybersécurité des produits connectés dans son
08:25ensemble. Tout à fait. Ça veut dire que tout le monde va devoir participer à cet
08:28effort cyber. Oui et c'est une excellente nouvelle parce qu'en fait ce qu'il faut
08:32comprendre c'est qu'aujourd'hui le monde du numérique, il n'est pas sécurisé par
08:36défaut. Quand on achète quelque chose, ça n'est pas sécurisé. Si je devais faire
08:39une analogie, on se souvient peut-être pour certains auditeurs de l'automobile
08:43dans les années 1960-1970, les ceintures de sécurité étaient une option. On les
08:48faisait ajouter dans la voiture, il fallait ramener sa voiture au garage,
08:51commander une pièce. Aujourd'hui la cybersécurité c'est ça. On vous achetait
08:55un système numérique et après il faut rajouter de la sécurité dessus, dedans,
08:59avec des experts et puis ça prend du temps etc. Là l'enjeu, c'est comme dans
09:03les voitures d'aujourd'hui, et bien demain on va aller dans des grands
09:06magasins acheter des équipements numériques et bien on aura la ceinture
09:09de sécurité, on aura l'Airbag, on aura l'ABS, il y aura le minimum. Que ce soit du
09:13logiciel ou du matériel, il devra être cybersécurisé par défaut en amont.
09:18Avec un niveau de base et des principes très sains finalement de
09:22responsabilisation aussi de ceux qui fabriquent vis-à-vis. C'est faisable ça ?
09:27La faisabilité d'un tel projet ça semble énorme.
09:30C'est important effectivement, ce texte s'inscrit dans la chaîne de
09:35NISSE, de REG, de DORA, de tous ces acronymes qui vont effectivement dans
09:39je renforce ce niveau élevé de cybersécurité.
09:42Il ne faut pas oublier que l'Union Européenne s'adresse aussi à nous,
09:45consommateurs. Donc c'est très important, la domotique, on en a partout, des objets
09:49connectés, ils sont avec nous tous les jours. Donc c'était important que ce texte
09:54existe. Ce texte couvre aussi l'ensemble éditeur, distributeur, importateur.
10:01C'est très important ce point là, c'est-à-dire que même si je suis éditeur de
10:04logiciels en dehors de l'Union Européenne, je vais devoir respecter les
10:08dispositions du CERA. J'ai un petit peu de temps pour mettre en place
10:13des publications très récentes, des délais. Alors des délais qui vont devoir
10:18s'appliquer aussi dès la R&D. C'est ça aussi cette ambition forte.
10:23Dès le premier développement du produit.
10:26Dès le développement du produit, dès sa commercialisation avec des labels
10:30qualité, donc on revient sur la qualité, sur effectivement des exigences qui vont
10:34rassurer le consommateur. Et toujours pareil avec s'il y a des non-conformités,
10:38des sanctions, des détections, des reportings, on est sur le même schéma.
10:42Comment on fait pour vérifier ça ? Parce que j'ai titré les défis à relever mais c'est en état.
10:46Comment on évalue qu'un produit a bien été sécurisé en amont ?
10:50Alors justement, il y a tout un mécanisme d'évaluation qui va, donc on a un
10:54référentiel de règles à respecter. Pour les produits les plus standards, ça va
10:58être une autocertification de ceux qui les fabriquent. Comme c'est la plupart du
11:02temps déjà le cas pour le label CE, il y a un certain nombre de choses où c'est
11:05celui qui construit qui va lui-même vérifier. Ce qui va nécessiter dans
11:10beaucoup d'entreprises de créer des nouvelles fonctions. Il y a un nouveau poste
11:14qui va arriver, c'est le Product Security Officer, en anglais, enfin en français,
11:18le responsable de la sécurité des produits, qui va justement certainement
11:21être aussi rattaché à l'équipe du responsable cybersécurité.
11:23Ça va devenir une des nouvelles branches des responsables cybersécurité pour ceux
11:27qui fabriquent des produits ou du logiciel. Et donc voilà, ça c'est pour
11:30l'autocertification. Mais on va l'évaluer en fonction des types d'attaques qui
11:34circulent aujourd'hui ? C'est-à-dire qu'il faudra mettre à jour sans arrêt ? Non voilà, il y a eu
11:38juste une autre phase d'évaluation qui va être par des organismes tiers pour
11:41les équipements les plus sensibles, pour s'assurer qu'on a un organisme
11:45indépendant qui va vérifier la sécurité. Et oui, le niveau, c'est plutôt des
11:49fonctions, des principes qui sont évalués. Est-ce que justement il y a la capacité
11:54à corriger des vulnérabilités, si elles sont détectées, etc. Et c'est ça qui est
11:58bien parce que si on disait il faut être à ce niveau de sécurité là
12:01aujourd'hui, on sait bien que dans deux ans, le niveau il aura complètement
12:04changé. Les cybercriminels ne nous attendent pas pour faire évoluer leur
12:06pratique. Et donc c'est bien parce que ce qui est demandé dans le texte, c'est
12:10des principes de veille, de surveillance, de mise à jour, de réflexion sur la
12:16sécurité dans le temps, plus que vous devez cocher trois cases le jour J.
12:19Et là, d'un point de vue juridique, c'est le point de la sanction aussi qui va être
12:23intéressant à surveiller. C'est le bâton.
12:28Alors effectivement, droit égal souvent sanction, mais quasiment c'est le bâton
12:33pour que ce soit appliqué. C'est aussi une finalité pédagogique très
12:36importante aussi ces sanctions, des amendes sur le chiffre annuel mondial,
12:40mais aussi si jamais les contrôles pour revenir sur les certifications ou les
12:46normes, on va dire CE, ne sont pas respectées, une interdiction sur le
12:50marché, de mise sur le marché ou un retrait. Donc il faut aussi se rendre
12:55compte de l'efficacité d'une telle sanction. Il faudra voir si on arrive jusqu'à ce
13:00niveau-là de sanctions sur l'application. Ça en fait partie.
13:05Allez, on passe à notre autre sujet. Donc on a dépassé 1000 jours de conflit
13:09en Ukraine. Je voulais faire un petit point sur le front cyber, Jérôme.
13:12Oui, effectivement, le conflit en Ukraine a toutes les dimensions d'un conflit
13:18malheureusement moderne avec une forte partie dans le numérique.
13:20On l'a vu dès le départ du conflit avec beaucoup d'attaques numériques qui se
13:25sont continuées dans la durée, avec peut-être une chance, je ne sais pas si je peux
13:29utiliser ce mot-là, mais c'est qu'elles sont très circonscrites sur le volet
13:32finalement de l'Ukraine et du fonctionnement du pays. On avait beaucoup
13:36de peur au départ de débordements. Et là, on voit qu'il y a quelques
13:40débordements, qu'il y a quelques actions qui se font aussi en parallèle avec
13:45évidemment cette histoire des câbles sous-marins endommagés où il y a encore
13:48beaucoup de flou à l'heure où on se parle sur qui pourrait être derrière
13:51même si évidemment le spectre de la Russie n'est pas loin.
13:55Oui, personne ne croit que ces câbles ont été coupés par accident, nous dit
14:01quand même le ministre de la Défense allemand. Il faut partir du principe qu'il
14:05s'agit d'un sapotage. On parle quand même de deux câbles sous-marins qui ont été
14:08endommagés. Du côté, un câble qui relie l'Allemagne et la Finlande et l'autre la
14:13Suède, la Lituanie. Donc, est-ce qu'on est en train de changer finalement de
14:18front cyber ? Peut-être moins sur les virus, les cyber-attaques classiques
14:26telles qu'on connaît et plus vraiment sur des attaques très géostratégiques qui
14:31pourraient mener à des blackouts ? Je pense que c'est une continuité, c'est une
14:35forme de continuité. C'est-à-dire que la Russie dans le cadre de ce conflit a
14:39vraiment une approche à 360 degrés du conflit.
14:41Ça va des opérations sur le terrain, évidemment, jusqu'à la désinformation
14:44médiatique et le spectre numérique est entre les deux avec évidemment, je pense
14:49que c'est vraiment une combinaison entre des attaques vraiment numériques, et je
14:52ne pense pas qu'elles vont s'arrêter, et des attaques qui touchent les
14:56infrastructures numériques. Parce qu'aujourd'hui, c'est ce qui fait
14:58fonctionner l'économie. Et là, la Russie envoie certainement un signal en disant
15:02attention, on peut aussi aller déstabiliser ce volet-là.
15:05Pression supplémentaire. Alors, on termine avec le Black Friday. Je voulais juste un
15:10petit point sur, est-ce qu'il y a vraiment un risque accru d'attaque,
15:14un type d'attaque peut-être spécifique Black Friday, avec des conseils de tous
15:19les deux, s'il vous plaît. Alors, Black Friday, on va dire, c'est pas la
15:24première année où on entend parler d'attention.
15:26Soyez vigilants. Je dirais que le Black Friday permet, encore une fois, de
15:31faire de la sensibilisation pour tout le monde. Ça, c'est très important. Il faut
15:35savoir que les cyberattaques, on en a tous les jours, on en entend parler de
15:38plus en plus. Cette année, on va dire, il y a eu des fuites de données d'un volume
15:42exponentiel, y compris les IBAN, des données avec un volume de
15:46données très important. Donc, ça permet effectivement d'axer sur une vigilance
15:50par rapport aux mails, par rapport aux achats, par rapport à tous ces données
15:54personnelles dans la nature, ça permet de perfectionner les attaques,
15:58de les personnaliser encore davantage. Et oui, et on a un souci parce que souvent on
16:01dit, attention, si on vous demande de faire quelque chose très rapidement,
16:05c'est très probablement une fraude. Et le problème du Black Friday, c'est que
16:09c'est quelques jours et que tout le monde insiste sur le fait qu'il faut acheter
16:11maintenant parce que c'est la bonne promo, etc. Donc là, il faut vraiment
16:14redoubler de vigilance pour ne pas tomber dans le piège.
16:16Vous allez nous faire rater des promos, là, Jérôme.
16:19Alors, je ne vous dis pas ça, je vous dis que ce qui va arriver dans les mails, ce qui
16:23va arriver par SMS, ce qui va arriver sur les messageries type WhatsApp, etc.,
16:26il faut le prendre avec un pas de recul en se disant, attention, ça, c'est quand
16:28même trop beau. Alors, il y a des très belles promotions dans le Black Friday. Pour ne
16:31pas les louper, ce qu'il faut, c'est ne pas cliquer sur les liens de ce qu'on
16:34reçoit, c'est regarder quelle marque l'envoie et aller par soi-même sur le
16:39site de la marque. Parce que de toute façon, quand vous allez arriver sur le
16:41site, il y aura la même promo si c'est une vraie promo. Par contre, si la promo
16:44n'apparaît pas sur le site ou dans votre espace client, attention. Voilà, ce sera
16:49un conseil majeur. Vigilance, mais aussi peut-être recul et saisir les bonnes
16:53opportunités avec cette démarche. Le risque, sinon, c'est d'avoir ces
16:59données bancaires dans la nature. Oui, c'est assez grave, des usurpations
17:07d'identité, bien entendu, vol de données, des fraudes sur les comptes,
17:14ce qui sont des mécanismes, après, par rapport aux victimes, qui sont dramatiques.
17:18Dramatiques, il ne faut pas oublier les conséquences. Avec des contentieux qui prennent du temps.
17:22Merci beaucoup. Donc, vigilance à tous. Merci encore, Garance Mathias et Jérôme
17:27Billoy, pour vos éclairages sur ce monde cyber. Merci.