L’Institut Montaigne vient de publier un rapport sur la cybersécurité. Le constat est globalement mauvais, particulièrement pour les petites structures et les établissements de santé. Mais si la situation est sensible, la mobilisation et la volonté de passer à l’acte seraient présents. Le think tank propose dix axes d’amélioration, dans un contexte de forte évolution.
L’Institut Montaigne est une association à but non lucratif. Il regroupe « plus de 200 entreprises de toutes tailles et de tous secteurs d’activité » et se présente comme « un espace de réflexion, de propositions et d’expérimentations au service de l’intérêt général ». Ses activités sont larges, de la cohésion sociale à l’efficacité de l’État en passant par la compétitivité économique, dont il est question avec le rapport sur la cybersécurité.
Le glissement des attaques vers les petites structures
Les chiffres cités ne sont pas bons. Au cours des deux dernières années, les cibles des cyberattaques ont largement changé. L’écart s’est creusé entre les entreprises stratégiques et l’ensemble des petites structures, comprenant les TPE, PME, ETI, les collectivités et les établissements de santé. Ce groupe a ainsi concentré 73 % des attaques de rançongiciels en 2022, soit 8 points de plus qu’en 2020, selon les chiffres de l’ANSSI. Dans le même temps, les attaques contre les entreprises stratégiques ont glissé de 24 à 6 %.
Que s’est-il passé ? Dans les grandes lignes, un renforcement conséquent de la sécurité informatique dans les grandes structures stratégiques, favorisé par une évolution du cadre réglementaire. Les pirates se sont orientés vers des cibles plus accessibles, moins sensibilisées au risque et ne disposant pas des mêmes moyens.
Les conséquences sont concrètes : des vies humaines deviennent menacées quand des établissements de santé se retrouvent paralysés par une panne informatique (sans parler des évidents problèmes critiques de vie privée causés par des vols de données) et, côté entreprises, de telles attaques ont un impact direct sur leurs finances. Jean-Noël Barrot, ministre délégué à la Transition numérique, avait ainsi indiqué que la moitié des PME faisaient faillite dans les dix-huit mois suivant une cyberattaque (sans que l’on sache toutefois si la faillite est bien la conséquence directe de l’attaque).
Le rapport cite plusieurs exemples, comme un fabricant de lingerie (plus d’un millier de salariés) s’étant retrouvé en redressement judiciaire à la suite d’un blocage complet de tous ses ordinateurs, ou un voyagiste s’étant fait dérober les données de plus de 10 000 passeports. Il cite également une étude dans laquelle des entreprises de plusieurs décennies ont fini par fermer parce que leurs données clients avaient été chiffrées par des pirates.