Une prise de conscience et de multiples inquiétudes. L’enquête Acteurs publics/EY pour l’Observatoire des politiques publiques, réalisée par l’Ifop sur la souveraineté numérique de la France met en exergue les multiples risques qu’encourt, selon la perception des personnes interrogées, l’Hexagone sur cette thématique et, en miroir, la nécessité de mettre en place des politiques publiques pour se prémunir des risques [lire la tribune de Fabrice Naftalski, avocat associé, EY Société d’avocats, et Laurent Peliks, associé EY Consulting].
Il ressort avant tout une certaine inquiétude ressentie par les Français sur la souveraineté numérique. Ainsi, un peu moins de la moitié (48 %) considère que la France détient les armes nécessaires pour assurer sa souveraineté numérique (la capacité à disposer des outils, plates-formes et entreprises numériques sur le sol national). C’est tout particulièrement le cas pour les hommes (53 %), les moins de 35 ans (54 %), les catégories socioprofessionnelles supérieures (58 %) et les plus aisés (54 %).
Sécurité des données détenues par les administrations
Par rapport aux données que détiennent les administrations publiques, l’inquiétude la plus forte concerne celles liées à la défense nationale – 63 %, dont 26 % de “très inquiets”, la situation géopolitique actuelle n’y étant très certainement pas pour rien –, juste devant les données d’état civil (62 %) et celles au niveau fiscal (61 %). Arrivent ensuite celles sur l’assurance maladie (58 %) et, bien après, les données d’urbanisme (moins de la moitié – 44 % – sont inquiets à ce sujet). Notons que globalement, sur ces différents indicateurs, les femmes, les plus âgés et les moins diplômés expriment davantage d’inquiétude.
Pour éviter des fuites de données pouvant se révéler dramatiques à l’aune des inquiétudes exprimées par les Français, ceux-ci réclament massivement une amélioration de la lutte contre la cybercriminalité. Ainsi, 47 % jugent qu’il faut recruter des équipes ad hoc dans les principales administrations, 45 % qu’il faut augmenter le budget dédié à la cybersécurité, 42 % qu’il faut des réglementations plus rigoureuses. Le volet éducatif n’est pas ignoré : 31 % des Français estiment qu’il faut développer la formation des étudiants dans ce domaine.
Cadre réglementaire contraignant
Enfin, une majorité de Français (58 %) affirme que la souveraineté numérique doit se traduire par un cadre réglementaire contraignant avec, par exemple, des obligations de localisation/d’hébergement des données (personnelles ou non personnelles) sur le territoire national ou de l’Union européenne (UE) avec des accès réglementés par la loi. Plus d’un quart (28 %) considère que ce cadre réglementaire doit au contraire être souple, avec des mécanismes volontaires de certification par des tiers de confiance sur la base d’un cahier des charges conforme aux droits fondamentaux de l’UE et comportant des engagements en matière de sécurité.
Enfin, seulement 14 % pensent qu’il vaut mieux une absence totale de cadre réglementaire contraignant ou incitatif, la souveraineté numérique n’étant pas raisonnablement compatible avec la globalisation, et qu’il appartient à chaque État de soutenir ses acteurs nationaux pour leur permettre d’être compétitifs.
Frédéric Dabi, directeur général de l’Ifop
L’enquête Acteurs publics/EY pour l’Observatoire des politiques publiques réalisée par l’Ifop a été menée par questionnaire auto-administré en ligne les 18 et 19 avril 2022 auprès d’un échantillon de 1 000 personnes représentatif de la population française âgée de 18 ans et plus. La représentativité de l’échantillon a été assurée par la méthode des quotas (sexe, âge, profession du chef de famille) après stratification par région et catégorie d’agglomération.
ANALYSE
5 leviers pour renforcer la cybersécurité des administrations publiques
Par Fabrice Naftalski, avocat associé, EY Société d’avocats (droit du numérique et de la protection des données),
et Laurent Peliks, associé EY Consulting (audit et conseil en cybersécurité)
Une recrudescence de la menace “cyber” a été observée au niveau mondial depuis quelques années et notamment depuis la crise pandémique. La France, comme d’autres pays européens, n’a pas été épargnée. Selon l’enquête annuelle EY1, 68 % des répondants en France au sein d’organisations publiques ont constaté une augmentation des cyberattaques en 2021. Cette perception est confirmée dans l’étude de cybercriminalité menée par l’Anssi2, qui note une augmentation de 37 % des intrusions avérées. Par ailleurs, avec le conflit récent en Ukraine, des tentatives de déstabilisation de gouvernements ont été lancées en Europe.
Des démarches de sécurisation déjà initiées en France
La France s’est organisée en termes de protection de ses données sensibles au travers de différents leviers, notamment le Règlement général de sécurité (RGS), la politique de sécurité des systèmes d’information de l’État (PSSI-E) et la loi de programmation militaire (LPM). Les administrations centrales telles que les ministères et les grands opérateurs d’État ont ainsi pu mettre en œuvre des démarches d’homologation, visant à réduire les risques “cyber” relatifs aux téléservices.
Cependant, les collectivités territoriales et établissements de santé peuvent éprouver des difficultés face à la mise en œuvre de telles démarches, et ce en raison du manque structurel de financements sur la cybersécurité, d’une dette “sécurité” parfois conséquente et d’une faible maîtrise des frontières de leur écosystème informatique dans un contexte d’ouverture au citoyen. Pour combler ce retard, plusieurs initiatives ont déjà été lancées au niveau national. Le plan France Relance a permis de débloquer 136 millions d’euros pour renforcer la sécurité des services publics. De même, la mise en œuvre annoncée de 1 500 cyberpatrouilleurs augmentera les capacités de lutte contre la cybercriminalité à l’échelle nationale. Enfin, les initiatives de campus cyber conduites dans plusieurs régions en France visent à rassembler des acteurs publics et privés, pour fédérer des communautés de la cybersécurité et développer des synergies entre ces différents acteurs.
Les leviers pour sécuriser davantage
Il reste cependant des défis à relever. Les administrations centrales, les territoires et les opérateurs publics sont dans un tournant : engagés dans la transformation numérique, ils accroissent la surface d’exposition au moment-même où les cyberattaques se multiplient et tendent à être de plus en plus sophistiquées.
Les 5 axes de travail suivants peuvent être déployés à moyen et long termes pour parer à ces difficultés.
• La formation et la production d’experts en cybersécurité devient critique pour faire face au déficit conséquent observé dans l’écosystème et plus spécifiquement sur le marché du recrutement en France.
• Un plan d’envergure pour sensibiliser et former les décisionnaires de demain à la cybersécurité devra être lancé. Selon l’enquête annuelle EY en France, environ 39 % des répondants en 2021 s’attendaient à subir une attaque majeure qui pourrait pourtant être évitée grâce à de meilleurs investissements et une plus grande mobilisation et sensibilisation.
• L’harmonisation des pratiques et le renforcement de la collaboration intra-européenne en la matière de cybersécurité devra se renforcer sous l’égide des agences étatiques et de l’Enisa [Agence européenne chargée de la sécurité des réseaux et de l’information, ndlr]. Cela permettra de se doter d’une véritable force européenne apte à répondre plus rapidement aux menaces d’ampleur. L’adoption du règlement européen “Cybersecurity Act” permettra de fluidifier les relations entre les organisations publiques et privées concourant à la cybersécurité au sein des États membres.
• De même, dans un contexte de dématérialisation des procédures, la sécurité des téléservices devra être renforcée via une gestion accrue de l’identité des usagers et de leurs droits d’accès. Déjà, le dispositif FranceConnect, précurseur, s’inscrit dans la sécurisation de l’accès des citoyens à plusieurs téléservices. Il sera également nécessaire de déployer à large échelle une surveillance des téléservices et applications à disposition des citoyens par des centres opérationnels de sécurité, qui permettront de détecter les cyberattaques. En complément, il sera nécessaire de disposer de capacités en réponse à incident “cyber” pour mener les investigations numériques, comprendre les impacts d’une attaque et rétablir les services dans des conditions normales.
• Le recours aux certifications individuelles en cybersécurité au niveau des organismes publics permettra de renforcer la sécurisation des systèmes d’information. Rappelons que le Règlement général sur la protection des données a déjà permis de définir les règles en matière de sécurité applicables au niveau des membres de l’Union européenne. De même en France, l’Anssi a encadré notamment au travers de référentiels et de qualification les services cloud (SecNumCloud), les activités d’audit de sécurité (Passi), de détection (PDIS), de réactions à incident “cyber” (PRIS). L’Allemagne a déjà mis en œuvre, depuis 2020, une démarche de certification pour les services de type cloud ou d’hébergement à destination de plusieurs dizaines de ministères fédéraux, en se basant sur le standard ISO 27001.
Ces différents chantiers mobiliseront au quotidien et sur la durée les spécialistes de la cybersécurité, dans un contexte de pénurie réelle des ressources. Il sera alors plus que nécessaire de favoriser les vocations en cybersécurité et de s’assurer du soutien des initiatives au bon niveau de décision pour sécuriser le déploiement des téléservices à destination des citoyens et des infrastructures informatiques.
[1] Enquête annuelle de cybersécurité 2021, EY.
[2] Panorama de la menace informatique 2021, Anssi, 9 mars 2022.
La sécurité des données au cœur du RGPD
Le Règlement général sur la protection des données (RGPD) ne consacre facialement qu’un seul article, sur 99, aux aspects de sécurité et de confidentialité des traitements, ce qui semble faire de ce sujet le parent pauvre du RGPD. La sécurité est omniprésente, lorsqu’on s’intéresse à l’opérationnalisation des obligations prévues par ce texte.
L’article 32 rappelle que le responsable du traitement et le sous-traitant sont tenus de mettre en place les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque du traitement. Il énonce plusieurs bonnes pratiques de sécurité en se référant aux techniques de pseudonymisation et de chiffrement des données, aux objectifs de confidentialité, d’intégrité, de disponibilité et de résilience des systèmes et insiste sur les bénéfices des approches de certification et de code de conduite.
Principes et obligations
Pourtant, lorsque l’on parcourt le RGPD, les sujets de sécurité sont omniprésents. Ainsi, les études d’impact doivent documenter “les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel” pour atténuer les risques pour les droits et libertés des personnes physiques, le registre des traitements doit comporter “dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32”, le contrat avec le sous-traitant impose de détailler les mesures de sécurité, et les principes de protection des données dès la conception et, par défaut, obligent le responsable du traitement à mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, pour mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données. Il impose aussi de s’assurer que les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques, donc une gestion rigoureuse des accès.
Enfin, il est facile de démontrer que la conformité à l’ensemble des principes cardinaux du RGPD, principes de nature juridique, contribue de manière significative à la sécurité du traitement : le principe de minimisation permet de limiter les données personnelles collectées et de restreindre les accès aux données ; le principe de limitation des durées de conservation restreint la durée d’exposition des données à des tentatives d’utilisation malveillantes ; l’obligation de disposer d’une base légale pour traiter des données et le principe de finalité limitent aussi de manière significative l’utilisation des données, puisqu’un traitement est conditionné par un objectif assorti d’une base légale.
Fabrice Naftalski, fabrice.naftalski@ey-avocats.com
Laurent Peliks, Laurent.Peliks@fr.ey.com
Les autres sondages Acteurs publics/EY :
L’hôpital, chantier numéro un de la transformation publique
1 agent public sur 3 juge que ses conditions de travail se sont dégradées depuis la crise du Covid-19
Plus de 8 Français sur 10 inquiets du niveau de la dette publique
