« La question n’est plus de savoir si une entité sera attaquée ou pas mais quand elle le sera. »
La cybercriminalité est factuellement une des plus grosses menaces de délinquance pour les entités publiques et privées dans le monde.
Les chiffres sur tous les continents sont éloquents, les attaques augmentent en nombre mais aussi désormais en capacité de nuisance avec des niveaux de complexité inédits.
Cette professionnalisation et cette prolifération d’attaques s’appuient désormais sur les dernières avancées technologiques.
La question n’est plus de savoir si une entité sera attaquée ou pas mais quand elle le sera.
Si les intelligences artificielles permettent des procédés en ingénierie sociale de plus en plus convaincants et sophistiqués, on n’ose pas s’imaginer ce que l’informatique quantique permettra de faire aux mafias du cybercrime dans un futur pas si éloigné de nous.
Pour répondre à cette situation la réglementation européenne avait mis en vigueur en 2016 la directive NIS (Network and Information Security) ; réglementation d’ailleurs inspirée par la France à l’époque. Ce texte a été complété par une deuxième version de cette directive qui pour reprendre les termes de l’ANSSI a « pour objectif d’élever collectivement notre niveau de cybersécurité par l’application de règles harmonisées et simplifiées »
L’objet n’est pas ici de faire l’exégèse du texte littéral de NIS 2 mais un changement d’échelle est manifeste dans son esprit et vise une protection harmonisée à l’échelle européenne.
Une réglementation européenne NIS 2 devait être transposée en droit français aujourd’hui, le 17 octobre 2024. Et le moins que l’on puisse dire est que chacun se demande où est passé ce dossier.
Rassurons-nous quelque peu, nous ne sommes pas les seuls dans cette situation mais pour reprendre les termes de la députée, Anne Le Hénanff, ce texte a eu « un parcours législatif qui s’est stoppé net » Une énième conséquence réplique de la dissolution de juin.
Car si le texte ne semble plus une priorité, nous avons tous du mal à identifier qui pilote ce dossier au gouvernement. Inquiétant.
Des craintes se développent chez les élus de voir un texte bâclé ou une transposition in extenso sans soutien quelconque.
Le Big Bang NIS 2 concerne en France 2481 collectivités territoriales selon l’ANSSI.
Si les entreprises semblent avoir un point d’appui avec la norme ISO 27.001, certification internationale qui définit les exigences pour la mise en place d’un système de management de la sécurité de l’information SMSI), les collectivités risquent de se retrouver à nouveau bien seules dans un contexte national qui pose beaucoup d’inconnues dans l’exercice budgétaire à construire.
Il est urgent de poser un travail de fond et d’un accompagnement multiple aux collectivités territoriales concernées et que la France prenne conscience de l’ampleur du risque pour ses entités publiques.
D’autant plus que le statut d’entités essentiel qui devrait échoir aux villes et agglomérations de plus de 40000 habitants vient percuter une autre actualité, celle de la mise à contribution des 450 plus grandes collectivités à la réduction de la dette publique.
Pourtant, cette protection numérique n’est plus une option mais un viatique absolu pour la garantie de la continuité de nos services publiques.
Il reste des échéances en 2025 qu’il ne faudra pas rater cette fois ci et ne pas faire de cet enjeu le rendez-vous manqué avec notre souveraineté.
Mickael AUDEGOND / Fondateur Terr@Secur