Le rapport rendu public par l'Institut Montaigne fait état de réelles craintes d'une ou plusieurs cyberattaques majeures, qui pourraient mettre à terre des entreprises de toutes tailles ainsi que des institutions hexagonales.
Avions cloués au sol, trafic ferroviaire interrompu, marché de Rungis immobilisé, chaînes de télévision qui cessent d'émettre... tout cela provoquerait la tenue d'une cellule de crise du gouvernement, paniqué par l'ampleur de la situation et son impuissance face à celle-ci. Ce scénario fictif, imaginé par l'Institut Montaigne, a été détaillé dans un rapport publié par le groupe de réflexion français cette semaine. Et cela n'a pas été fait par hasard. L'institut s'inquiète de fragilités des systèmes d'information français, dont la conséquence pour le pays est une plus grande menace de « cyber ouragan ».
Le cloud, cible numéro 1 des cyberassaillants ?
Aujourd'hui, les systèmes sont de plus en plus interconnectés et les réseaux de plus en plus imbriqués. Beaucoup de sociétés, sans parler des institutions, reposent sur le numérique. Plus notre environnement au sens large se numérise, plus il s'expose à des failles et plus les opportunités d'attaques et les effets de propagation augmentent.Un facteur aggravant actuel et futur est celui du cloud, dont au moins la moitié des infrastructures est aux mains d'un tout petit nombre d'acteurs majeurs : Amazon, Microsoft, Alibaba, IBM et Google. Si l'un d'eux venait à être ciblé, l'attaque pourrait toucher un gigantesque nombre d'acteurs.
L'Institut Montaigne, dont l'étude est le fruit de travaux qui ont duré neuf mois, menés avec des entreprises et des universités, pense qu'un cyber-ouragan potentiel proviendrait d'un acteur non-étatique capable de causer des pertes de plusieurs dizaines de milliards de dollars après avoir dérobé des outils d'attaques développés par un État.
La France n'est pas encore assez bien armée
En France, le degré d'intensité de la menace varie selon les secteurs. Les grandes entreprises sont bien armées et font preuve d'une certaine maturité en matière de cybersécurité. Les industries et les services publics, eux, sont très en retard. Services de secours, de santé, forces de sécurité... La jurisprudence britannique des hôpitaux attaqués en mai 2017 devraient pourtant davantage nous remuer.Les plus petites entreprises sont logiquement les plus exposées. Selon SystemX, 50 000 PME françaises ont déjà été victimes de cyberattaques, avec des conséquences souvent fâcheuses, comme mettre la clé sous la porte.
Des solutions existent pour accroître la cyber-résilience
L'Institut Montaigne clôt son étude en livrant quelques recommandations intéressantes à destination de l'ensemble de l'économie de la société. Il suggère notamment la rédaction d'un rapport annuel par les entreprises, dans lequel elle consignerait les risques existants et les compétences de leur société pour y faire face. L'Institut encourage aussi à la tenue d'exercices de crise, qui permettent de tester la résilience des systèmes d'information d'un groupe et aussi de ses fournisseurs, à l'instar de ce que font les banques aujourd'hui.Le 27 avril 2007, l'Estonie devenait la première victime d'un acte de cyberguerre via des dénis de services distribués qui avaient paralysé les banques, ministères et sites de médias du pays pendant plus d'une quinzaine de jours. Onze ans après, la menace semble continuer d'inquiéter les think tanks.