Rapport d’information du Sénat : La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cyber-virus ?

Un rapport d’information sur la cybersécurité des entreprises fait au nom de la délégation aux entreprises a été déposé au Sénat le 10 juin par les sénateurs Sébastien Meurant et Rémi Cardon(1).

Ce rapport pointe les enjeux d’un renforcement des dispositifs de cybersécurité des entreprises à l’ère de la numérisation de l’économie et de l’essor des usages numériques, face à la hausse des actes de piratage et de la cybercriminalité de manière générale. Il entend souligner l’importance de l’accès des entreprises à la cybersécurité, notamment les petites et moyennes entreprises (PME), les très petites entreprises (TPE) et les entreprises de taille intermédiaire (ETI) plus exposées aux failles de sécurité, et mettre en avant les outils adaptés tels que le dispositif public de cyber-protection.

Le rapport propose tout d’abord, pour tester la résistance et la réponse des entreprises aux "cyber-risques", de mettre en place des mesures de promotion du dispositif "cybermalveillance.gouv.fr" auprès des entreprises(2), ainsi que des services d’urgence et de recueil anonymisé de plaintes. Ce dispositif encourage les entreprises à signaler les cyberattaques sans porter atteinte à leur réputation, tout en décourageant la publicité autour des logiciels malveillants.

Selon les auteurs du rapport, l’Etat doit élaborer des plans nationaux de prévention des cyber-risques et des exercices de simulation d’attaques numériques tandis que dans les régions, des équipes de réponse aux incidents informatiques doivent être constituées afin de faciliter l’accès des PME à la cyber-protection tout en sensibilisant les collectivités locales, nouvelles cibles des attaques numériques.

Ensuite, constitue un élément majeur de la prévention de ces risques la formation professionnelle dans le monde de l’entreprise, à destination des salariés et la sensibilisation des dirigeants dont la responsabilité personnelle peut être engagée en cas de cyberattaque de la chaîne de valeur dont ils sont partie prenante.

De plus, le rapport préconise l’organisation d’une campagne massive de promotion des métiers de la cybersécurité et d’un "hackathon" de la cybersécurité des entreprises, ciblant notamment les logiciels mis sur le marché, ainsi que l’élargissement aux entreprises de la "garantie logicielle" concernant les mises à jour de sécurité et la construction d’un référentiel de cybersécurité accessible aux TPE et PME pour assurer leur certification en la matière.

Enfin, le rapport recommande des outils adaptés à la protection des TPE, PME et ETI, notamment en renforçant les moyens humains et financiers du dispositif public de cyber-protection.

Parmi ces propositions figurent le développement de la formation initiale et continue des magistrats en matière de cybercriminalité, l’augmentation des moyens financiers et des effectifs spécialisés en cybersécurité des forces de sécurité, l’étude de la faisabilité de la création d’un Parquet national de lutte contre la cybercriminalité et d’une chambre spécialisée à chaque degré de juridiction, des mesures d’adaptation des procédures pénales face à l’industrialisation de la cybercriminalité, un renforcement de la coopération internationale en la matière et l’évolution du droit de la commande publique.

En outre, le rapport évoque des solutions simples et mutualisées à destination des PME et TPE telles que la constitution de groupements d’employeurs permettant la mutualisation de responsables de sécurité des systèmes informatiques (RSSI), ou encore, la création d’un crédit d’impôt à destination couvrant une part des dépenses d’équipement et de formation des chefs d’entreprises et des salariés à la cybersécurité.

Au surplus, le rapport met l’accent sur le rôle des assurances dans le renforcement de la cybersécurité des entreprises, en suggérant de subordonner l’éligibilité au remboursement d’un dommage lié à une cyberattaque au recours à un prestataire labellisé "Expert Cyber" et le développement d’une meilleure compréhension du risque à travers la connaissance la plus exhaustive possible des sinistres.
 
Notes
puce note (1) Rapport d’information du Sénat sur la cybersécurité des entreprises
puce note (2) Dispositif national d’assistance aux victimes de cybermalveillance
 
 
Informations légales | Données personnelles