Rapport d'information (…) relatif à la cybersécurité des entreprises

Auteur(s) moral(aux) : Sénat. Délégation aux entreprises

Présentation

Alors qu'il ne se passe pas une journée sans que des milliers d'entreprises subissent une cyberattaque, la Délégation aux entreprises du Sénat s'est saisie de ce sujet de préoccupation majeure pour la vie quotidienne, voire pour la survie des entreprises. L'explosion des usages numériques s'accompagne d'une hausse exponentielle des actes de piratage. Chaque utilisateur d'un outil numérique ou même d'un objet connecté peut être potentiellement le maillon faible du filet de cybersécurité. C'est un risque potentiellement mortel pour une entreprise, quelle que soit sa taille. Or, la cybersécurité est difficilement accessible aux PME et TPE. Pour mettre la cybersécurité à la portée de toutes les entreprises, renforcer leur hygiène numérique et leur cyberrésilience, le rapport formule 22 propositions, articulées autour de trois axes :

  • tester, et renforcer la résistance et la cyberrésilience des entreprises,
  • alerter, conseiller et former sur le péril cyber,
  • protéger les entreprises de taille intermédiaire, moyenne et petite par des outils et des gestes barrières adaptés.
Revenir à la navigation

Sommaire

L’ESSENTIEL

I. LA CYBERSÉCURITÉ, UN ENJEU DÉCISIF DE SURVIE DES ENTREPRISES

A. DES ENTREPRISES DE PLUS EN PLUS NUMÉRISÉES ET CYBERATTAQUÉES
1. Des entreprises incitées à se numériser
2. Des cyberattaques croissantes
a) La cybercriminalité dans le monde
b) La cybercriminalité en France

3. Une cybercriminalité qui s’industrialise

B. L’UTILISATION DE TERMINAUX PERSONNELS : UN "CHEVAL DE TROIE"  
1. Une pratique née dès le début du XXIème siècle
2. Une généralisation des comportements liée au travail à distance

C. LA CYBERMALVEILLANCE : UN RISQUE MORTEL

D. UNE PRISE DE CONSCIENCE INÉGALE DE LA CYBERMENACE
1. Un déni jusqu’en 2018 malgré les mises en garde
2. Une prise de conscience en 2020
3. Un enjeu majeur de la responsabilité de l’entreprise
a) La cybersécurité dans la notation financière
b) La cybersécurité comme élément de responsabilité numérique des entreprises

4. Un enjeu d’harmonisation européenne

E. UNE COURSE DE VITESSE ENTRE CYBERATTAQUE ET CYBERPROTECTION

II.UN ÉTAT CONSACRANT DES MOYENS INSUFFISANTS À LA CYBERSÉCURITÉ DES TPE ET PME

A. UN DISPOSITIF RÉGALIEN DE CYBERPROTECTION COMPLEXE
1.Un dispositif de lutte contre la cybercriminalité à la recherche d’une constante coordination
2. Une justice trop démunie face à une cybercriminalité industrialisée

B. UN DISPOSITIF CENTRÉ SUR LES CYBERRISQUES LES PLUS GRAVES

III. UNE CYBERSÉCURITÉ DIFFICILEMENT ACCESSIBLE AUX TPE ET PME

A. UN RISQUE CROISSANT D’ « EFFET DOMINO » POUR LES ENTREPRISES

B. UN MANQUE DE CULTURE DE LA CYBERSÉCURITÉ
1. Le salarié, un maillon souvent faible de la cybersécurité de l’entreprise
a) Près d’une fois sur deux
b) Une culture à renforcer : quelques pistes

2. Éducation et formation à la cybersécurité : des progrès mais peut mieux faire

C. UNE PÉNURIE DE RESSOURCES HUMAINES
1. Une pénurie mondiale de compétences en matière de sécurité informatique
2. Une pénurie qui aggrave la fragilité des PME en cybersécurité

D. UN RECOURS CROISSANT AU CLOUD
1. Un remède à l’insuffisance des ressources internes de cybersécurité : l’infogérance
2. Un déséquilibre des relations contractuelles dans le cloud au détriment des PME

IV.UN ENCOURAGEMENT AU DÉVELOPPEMENT D’UN ÉCOSYSTÈME DE LA CYBERSÉCURITÉ

A. UNE FORTE AMBITION PUBLIQUE EN MATIÈRE DE CYBERSÉCURITÉ
1. Un moteur de développement économique
a) Un marché en pleine expansion dans le monde
b) Un marché créant une importante valeur ajoutée en France

2. Les atouts de la France dans le marché de la cybersécurité
a) Des atouts technologiques
b) Des start up dynamiques mais souvent rachetées pendant leur croissance


B. UN PARTENARIAT PUBLIC-PRIVÉ APPELÉ À S’APPROFONDIR
1. La stratégie publique de développement du marché de la cybersécurité
2. Un Pôle d’excellence cyber en Bretagne
3. Le futur Campus Cyber à la Défense

C. UN OBJECTIF DE LONG TERME : LE CLOUD SOUVERAIN
1. L’enjeu du cloud
2. Une souveraineté numérique perdue
3. Une volonté européenne de reconquête de la souveraineté dans le cloud
4.Des occasions manquées : une politique publique non maîtrisée de reconquête de la souveraineté dans le cloud
5. Un ralliement pertinent de la France au projet GAIA-X
6. Une nouvelle "stratégie nationale pour le cloud"
  
D.UN DROIT DE LA COMMANDE PUBLIQUE FREINANT L’ÉMERGENCE DE L’ÉCOSYSTÊME DE LA CYBERSÉCURITÉ

V. METTRE LA CYBERSÉCURITÉ À LA PORTÉE DES TPE ET PME

A. RENDRE LA CYBERPROTECTION PUBLIQUE PLUS ACCESSIBLE AUX TPE ET PME
1. Faciliter l’accès des TPE et PME aux solutions de sécurité numérique
a) Offrir aux entreprises un numéro d’appel en cas de cyberattaque
b) Assurer une meilleure connaissance du cyberrisque
c) Créer des équipes régionales de réponse afin de mieux protéger les PME

d)Adapter le droit de la commande publique pour favoriser l’émergence de l’écosystème de la cybersécurité
2. Renforcer la cyberprotection publique des entreprises
a) Établir des plans de prévention des risques numériques
b) Renforcer le dispositif public de cyberprotection des entreprises


B. DIFFUSER UNE CULTURE DE LA CYBERSÉCURITÉ DANS L’ENTREPRISE
1. Renforcer l’« hygiène numérique » dans les entreprises
a) Introduire un volet de cybersécurité dans toute formation au numérique
b) Former davantage de professionnels de la cybersécurité

2. Développer une « hygiène de la cybersécurité » dans les entreprises
a) Intégrer la cybersécurité dans la gouvernance de l’entreprise
b) Mieux identifier le cyberrisque
c) Valoriser la certification en cybersécurité des entreprises
d) Consolider la certification ExpertCybe
r

C.INTERDIRE LE CARACTÈRE ASSURABLE DES RANÇONS À DESCYBERCRIMINELS
1. Une évaluation et un cadre incertains
2. Un marché assurantiel risqué mais attractif
3. Une pratique qui nourrit un écosystème criminel
4. Un paiement sans garantie de résultat
5. Une interdiction du caractère assurable des rançongiciels

D.DÉVELOPPER DIX OUTILS DE CYBERSÉCURITÉ ADAPTÉS AUX TPE ET PME
1. Offrir des outils sécurisés : la security by design
a) 150 000 failles de sécurité recensées
b) L’insuffisante garantie de mise à jour des logiciels de sécurité
c) Rendre publiques les failles de sécurité avec le hacking éthique

2. Développer l’accompagnement des dirigeants de PME à la cybersécurité
3. Sensibiliser les TPE et PME à la responsabilité en cascade
4. Utiliser l’assurance pour inciter les entreprises à se cybersécuriser
5. Mutualiser l’expertise en cybersécurité avec des tiers de confiance
6. Simplifier l’offre destinée aux PME et TPE
7. Rétablir l’égalité des relations contractuelles dans le cloud au profit des PME
a) L’inaccessible preuve de la faute
b) Des propositions multiples mais parfois peu réalistes
c) Étendre le champ de protection du Code de la consommation

8.Assurer la cybersécurité à l’entrée du cloud et mieux en prendre en considération les PME dans les normes de cybersécurité du cloud
9.Instituer un crédit d’impôt pour inciter les entreprises à se numériser en toute sécurité
a) Une demande récurrente du Sénat
b) Les limites des aides gouvernementales à la numérisation
c) Créer un crédit d’impôt « cybersécurité » pour les TPE et PME

10. Créer un « cyberscore » de la cybersécurité des solutions numériques


EXAMEN EN DÉLÉGATION
GLOSSAIRE
ANNEXES
LISTE DES DÉPLACEMENTS
LISTE DES PERSONNES AUDITIONNÉES
CONTRIBUTIONS ÉCRITES

Revenir à la navigation

Fiche technique

Autre titre : La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?

Type de document : Rapport parlementaire

Pagination : 189 pages

Édité par : Sénat

Collection : Les Rapports du Sénat

Revenir à la navigation