La souveraineté numérique passe par la protection des données et la cybersécurité
A l'occasion de l'inauguration d’un centre de données en Alsace, le gouvernement a invité administrations et entreprises à sécuriser leurs données, première brique de la souveraineté numérique. L'hébergement des données "sensibles" dans le cloud va être précisé et un plan cyber à destination des TPE/PME a été annoncé.
© @BrunoLeMaire/ Bruno Le Maire
Reconstruit à la suite d'un incendie qui avait marqué les esprits en mars 2021, le nouveau centre de données d’OVHCloud a tout du symbole. Ce datacenter a été conçu selon les plus hauts standards en matière de consommation d'énergie et de sécurité informatique, et résume l’esprit de la politique industrielle initiée par Bruno Le Maire ministre de l’Economie et de la Souveraineté numérique. Loin d’être "nuageux", le cloud "c'est du concret, des installations, des emplois, des technologies, et c’est la possibilité de réussir ou d’échouer économiquement", a déclaré le ministre lors de l'inauguration le 12 septembre 2022 en Alsace.
La notion de données sensibles précisée
En allant à la rencontre des acteurs tricolores du cloud, le ministre a aussi souhaité réaffirmer son soutien à une filière qui avait très mal vécu l'attribution (avortée) du Health data hub à Microsoft. Il a du reste assuré son soutien à l’idée de réserver aux seules entreprises européennes le label SecNumCloud, le plus élevé dans la hiérarchie des certifications pour l’hébergement de données. L'usage de solutions cloud certifiées va par ailleurs être encouragé avec, dans un premier temps, une circulaire visant à établir les critères d’une "donnée sensible", pour une administration comme pour une entreprise. Et si les incitations à utiliser des solutions souveraines pour sécuriser les données ne suffisent pas, Bruno Le Maire a brandit de possibles obligations.
Ces dernières vont du reste s'imposer avec la directive européenne NIS 2 (Network and information security) dont l’adoption définitive est imminente (lire notre article du 5 juillet). Cette directive va étendre le champ des secteurs soumis à des obligations cyber strictes, comme l’eau, les déchets et les services numériques. Il est également acquis que les administrations centrales y seront soumises, son application aux collectivités restant incertaine, laissée à l’appréciation des Etats membres.
Sensibiliser 100% des entreprises à la cybersécurité
Quelques jours auparavant, le ministre délégué à la Transition numérique, Jean-Noël Barrot avait détaillé la feuille de route gouvernementale sur la cybersécurité. En plus des 20 millions d'euros supplémentaires affectés à la sécurisation des hôpitaux, il a annoncé sa volonté de renforcer l’accompagnement cyber des TPE/PME. Un plan d’action en leur direction sera lancé "prochainement" avec pour objectif prioritaire de sensibiliser "100% des entreprises" aux risques cyber. Car en 2020, selon une étude Opinion Way, une entreprise sur cinq a été victime d’un rançongiciel et 58% des PME victimes ont eu des "dommages économiques sérieux" dans les six mois ayant suivi l’attaque.
La cybersécurité est ensuite un secteur économique porteur que le gouvernement veut soutenir en lançant un accélérateur de startups spécialisé. L’ambition est de créer 37.000 emplois dans la filière, de faire émerger trois "licornes" (capitalisation boursière de plus d’un milliard d’euros) et de multiplier par trois le chiffre d’affaires du secteur. Le ministre délégué a également confirmé la possibilité de souscrire des assurances cyber couvrant les rançons sous réserve que les victimes portent plainte. Jusqu’à présent l’Anssi s’opposait farouchement à cette idée en estimant que la couverture du risque rançongiciels contribuait à créer un marché pour les cybercriminels.
Interlocuteurs cyber de proximité
Cette disposition sera discutée dans le cadre du projet de loi d'orientation et de programmation du ministère de l'Intérieur (Lopmi) présenté début septembre 2022 (lire notre article du 7 septembre). Le volet cyber de cette loi entend également remédier au manque d’interlocuteurs de proximité en matière de cybersécurité. Un "17 cyber" sera ainsi créé pour traiter les appels du grand public – dans lequel on peut aussi placer les toutes petites communes – victime de cyberattaques ou d’escroqueries. Il sera construit, détaille le rapport annexé au projet de loi "en s’appuyant sur les outils existants" : le GIP Cybermalveillance, les centres régionaux de réponse aux incidents (CERT) en cours de mise en place et l’Anssi. Par ailleurs, 1.500 nouveaux "cyberpatrouilleurs" seront déployés pour mieux lutter contre la cybercriminalité.
