Face aux cyberattaques, mieux protéger nos PME et nos associations

Jerôme Barlatier est officier supérieur de gendarmerie Renseignement criminel et enquêtes judiciaires. Cyprien Ronze-Spilliaert est normalien et économiste. 

---

Mi-août, la prestigieuse université Paris-Saclay a fait l’objet d’une grave cyberattaque qui a touché l’ensemble de ses serveurs internes, notamment la messagerie, et contraint l’institution à ouvrir provisoirement un site internet provisoire. Il s’agit d’une attaque par rançongiciel, consistant à bloquer les services et applications numériques tant qu’une rançon n’a pas été payée. L’université a fait appel, en urgence, à l’Agence nationale de la sécurité des systèmes d'information (ANSSI) pour neutraliser l’attaque. Aujourd’hui encore, de nombreux services de l’université demeurent hors service.

Cette cyberattaque d’ampleur illustre la vulnérabilité des systèmes d’information des universités. Elle nous rappelle, plus largement, que les PME, les TPE, les associations, les hôpitaux, sont particulièrement exposés aux cyberattaques. Contrairement aux grandes entreprises et aux administrations publiques régaliennes, les organismes de taille modeste ne disposent pas des moyens nécessaires pour se prémunir des cybermenaces. Leurs directions des systèmes d’information (DSI) sont souvent trop faibles, voire inexistantes pour les plus petites structures, pour garantir l’imperméabilité de leurs infrastructures numériques.

Plus encore, les universités, les PME et les associations sont les laissé-pour-compte de la politique nationale de cybersécurité. Force est de constater que les efforts se sont concentrés, ces dernières années, sur les services publics régaliens, les opérateurs d’importance vitale (au nombre d’environ 300) et les entreprises de défense. Ainsi, d’éminents services de renseignement et de cybersécurité – comme la direction générale de la Sécurité intérieure (DGSI), la direction du Renseignement et de la Sécurité de la Défense (DRSD), l’Agence nationale de la sécurité des systèmes d'information (ANSSI) ou encore le Commandement de la cyberdéfense (COMCYBER) – ont été considérablement renforcés pour assurer la sécurité des organisations systémiques ou cruciales pour la nation. Par exemple, le nombre d’agents affectés à l’ANSSI est passé de 120 en 2009 à 634 en 2023. De même, un plan important de recrutement du ministère des Armées devrait porter le nombre de cybercombattants – qui servent notamment au sein du COMCYBER et de la DRSD – à 5 000 en 2025, contre 3 700 en 2022.

Cependant, la DGSI et l’ANSSI ne peuvent se démultiplier pour assurer la cybersécurité de la multitude de TPE, PME et associations qui essaiment sur l’ensemble du territoire. Ces organismes ne sont peut-être pas « d’importance vitale », mais ils constituent l’ossature de l’économie française et ne sont bien évidemment pas épargnés par les cyberattaques. Au contraire même : les PME et les TPE représentent, d’après une étude du cabinet Asteres, 90 % des cyberattaques en 2022. Or, d’après l’ANSSI, seul un tiers d’entre elles sont correctement parées contre les cybermenaces.

Il est pourtant crucial de protéger nos petites et moyennes entreprises. En effet, les PME et les TPE sont au coeur des chaînes de valeur et des grands projets nationaux. Par exemple, le plan de relance post-Covid France 2030 consacre 46 % de ses crédits à des ETI, des PME et des TPE. De même, les PME et les TPE, qui représentent 27 % de la dépense de R&D en 2021, sont des foyers d’innovation fertiles et précieux.

Par conséquent, les entreprises de petite et moyenne taille – notamment celles qui sont particulièrement innovantes ou insérées dans des chaînes de valeur stratégiques – constituent des cibles de choix pour les cyberattaques émanant de puissances hostiles et visant à déstabiliser l’économie française. En effet, la France, comme d’autres pays occidentaux, est confrontée à une véritable cyberguerre : nombre de cyberattaques ne s’inscrivent pas dans une logique crapuleuse, mais poursuivent des objectifs géopolitiques dans un contexte de guerre larvée entre l’Occident et les régimes autoritaires. Preuve en est que les cyberattaques d’origine russe ont explosé depuis l’invasion de l’Ukraine : elles ont augmenté, d’après la société de cybersécurité Mandiant, de +300 % entre 2020 et 2022. Alors que nos adversaires déploient de façon désinhibée leur violence dans le cyberespace, les PME et TPE sont trop peu protégées face aux cyberattaques, notamment russes et chinoises.

Il est donc essentiel et urgent de renforcer le dispositif de cyberprévention pour les PME et les autres organisations de taille modeste qui forment le ciment de la société française (associations, hôpitaux, universités…). La principale difficulté réside dans la mise en place d’un maillage territorial de référents « cybersécurité » suffisamment dense pour assurer une couverture sur la totalité du territoire. À cet égard, la Gendarmerie nationale – qui a considérablement renforcé, ces dernières années, ses moyens et son expertise dans le domaine cyber – offre un exemple intéressant.

La Gendarmerie a en effet formé, en quelques années, près de 10 000 cyberenquêteurs répartis sur l’ensemble du territoire. Elle dispose ainsi de l’expertise et du maillage territorial nécessaires pour assurer des actions de remédiation auprès des PME et TPE. D’ores et déjà, elle a mis en place, en avril 2024, le dispositif « Diagonal », qui permet aux entreprises de réaliser un pré-diagnostic cyber pour évaluer la robustesse de leur sécurité informatique. La Gendarmerie montre, par ce type d’initiatives, que les forces de sécurité intérieure constituent le relai indispensable de l’ANSSI et de la DGSI pour assurer, sur tout le territoire, des actions de cyberprévention auprès des organisations de taille modeste.

Alors que les tensions géopolitiques s’accompagnent d’une explosion d’ingérences étrangères sous la forme de cyberattaques, il est urgent de protéger davantage nos PME, nos associations et nos universités. La France doit gagner la guerre hybride que lui mènent des puissances hostiles. Cela nécessite un dispositif national de cybersécurité infaillible et universel.

---

Jerôme Barlatier et Cyprien Ronze-Spilliaert