« C’est un moment qui compte. On met aujourd’hui en musique une ambition simple et exigeante, faire du Grand Est un territoire de confiance numérique au service de tous nos habitants, de toutes nos entreprises. » Franck Leroy, président de la Région Grand Est a ouvert le 22 octobre, dans le grand amphithéâtre du conseil régional à Metz, une session inédite, réunissant plus de 200 acteurs concernés par cette problématique de la cybersécurité : chefs d’entreprises, représentants de la gendarmerie, de l’université, de la recherche, de la santé, des instances et organisations spécialisées dans les solutions de cybersécurité. En lançant le Hub Grand Est cybersécurité, la Région a mobilisé tout un campus régional consacré à la cybersécurité.
« Le 14 février 2020… »
« Nous savons hélas de quoi nous parlons. Le 14 février 2020, quelques jours avant le confinement, au moment même où le télétravail allait s’imposer dans nos existences, la Région a été victime d’une cyber-attaque. Depuis, nous avons beaucoup appris les uns des autres, nous savons que personne n’est à l’abri. La seule réponse durable est collective, coordonnée et proche du terrain » affirme le président de la Région. La grande collectivité a su tirer les leçons de cette cyberattaque. En 2020, elle réunit 800 acteurs économiques lors du Business Act Grand Est pour mettre en oeuvre un plan d’accompagnement en cybersécurité dédié aux structures sans direction informatique pour mesurer leurs vulnérabilités. En 2021, elle renforce sa gouvernance en nommant Irène Weiss, conseillère régionale déléguée à la cybersécurité. En 2023 elle adopte un Plan Régional de cybersécurité, visant à anticiper les risques et à sécuriser l’ensemble des acteurs de son territoire. Dans ce cadre, elle a ouvert la même année, un Centre d’assistance aux victimes de cyberattaques, opéré par son agence Grand Est développement et en partenariat avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) offrant un service gratuit et largement éprouvé.
La réalité de la menace
Franck Leroy a clairement pointé la réalité de cette menace : « Entre 2020 et 2023, les cyberattaques signalées contre les collectivités ont augmenté de 400%. Elles ont été multipliées par 4 ! Une entreprise sur 2 du territoire est victime d’une cyberattaque en 2023. Depuis la guerre en Ukraine, la menace cyber s’est fortement intensifiée. » Dans le même temps, le Centre d’assistance a accompagné plus de 600 structures en deux ans : entreprises, associations, collectivités désireuses de prévenir le risque. Enfin, la diffusion de la culture du risque a permis de réaliser auprès de 307 organisations un diagnostic de cyber maturité. En lançant son Hub, la Région change d’échelle car « la menace est devenue systémique, elle se professionnalise, se mondialise. » C’est la raison d’être de ce hub. « Nous avons fait le choix du réseau, un maillage de pôles d’excellence coordonnés à l’échelle régionale » précise Franck Leroy. Parmi les 6 pôles, trois sont déjà labellisés : le Pôle Cyberian (Nancy-Meurthe et Moselle), le Pôle M2A Sud Alsace, le Pôle Marne-Ardennes. Un quatrième pôle pour le Nord de la Lorraine est en développement, enfin Nord Alsace et Sud Champagne doivent voir le jour d’ici quelques mois.
« L’affaire de tous »
La Région Grand Est a fait le choix de s’appuyer sur les forces vives locales et les expertises réparties sur les territoires. Le Hub Grand Est Cybersécurité devient ainsi le lieu de convergence et d’innovation, un Hub grand et proche à la fois, où entreprises, universités, institutions et citoyens peuvent collaborer pour renforcer la cybersécurité de notre région. « Le Hub Grand Est favorise la coopération entre tous les acteurs à différents niveaux géographiques et d’expertise. Une coopération qui permet de rendre la cybersécurité plus accessible, de mutualiser et d’approfondir les expertises, au service de la résilience collective face aux cybermenaces. » La Région opère par une approche décentralisée plutôt qu’une approche unique. Le cap s’appuie sur quatre axes : protéger, former, innover et coordonner. « Et ce cap s’inscrit dans le temps long » insiste le président de Région. Franck Leroy termine son propos en soulignant que « la cybersécurité n’est pas l’affaire d’un cercle d’initiés, c’est l’affaire de tous. Chacun a sa place pour élever le niveau de protection du territoire. »
Sa démarche a été validée en obtenant le label « Campus cyber territorial » ce qui lui permet de rejoindre la grande famille du campus cyber national. Il profitera ainsi de la mutualisation des ressources et services au sein de ce réseau et d’une valorisation de son action au niveau national et international.
« Un sujet de préoccupation pour la Gendarmerie »
La générale Florence Guillaume, commandant de la région de gendarmerie Grand Est et de la gendarmerie pour la zone de Défense et Sécurité Est, a pris le relais. La cybersécurité était un « sujet de préoccupation pour la gendarmerie » elle s’est lancée dans une comparaison avec la sécurité routière : « le cyber c’est un peu comme la sécurité routière. On connaît à peu près les règles, on sait comment ça fonctionne, parfois on en oublie un peu… On se dit que les accidents, c’est pour les autres. On se dit après un accident, si j’avais su. Après la sidération de l’accident, on est beaucoup plus vigilant. C’est à travers de grands événements, qui permettent de redire les choses, de faire passer une petite musique de sécurité autour de ces sujets-là que l’on connaît et que parfois on oublie un peu. » Elle milite pour développer « une culture de sécurité qui s’appuie sur la prévention. »
« Il faut qu’on joue collectif »
Étienne Leroi, président de Grand Est Développement, ancien chef d’entreprise, s’est exprimé en citant Claude Malhuret, sénateur, qui parlait de ces temps où l’on vit à la fois trois guerres : « Des guerres chaudes, à nos portes, l’Ukraine et Gaza, des guerres froides un peu plus loin, c’est l’Asie, et la guerre hybride, où on est tous au combat. Elle est déjà en cours, nous sommes pratiquement avec les mêmes adversaires. Nous sommes riches de nos données, il ne faut pas laisser entrer n’importe qui dans nos données. » De fait avec l’IA « nos données sont accessibles, la façon de s’en servir devient accessible. Nous avons plus de vigilance à avoir. Il faut qu’on joue collectif. » Il a naturellement mis l’accent sur les entreprises « de plus en plus sensibles à ce risque. » L’effort a déjà été mené auprès des entreprises. « On a répondu à 600 demandes auprès de notre CSIRT (Centre de réponse aux incidents de sécurité informatique) ces deux dernières années qui nous ont permis d’intervenir soit sur des sinistres, soit de mettre des plans en route, grâce à des sociétés spécialisées sur des incidents particuliers. » Il a répété son enthousiasme d’assurer le portage de ce Hub Grand Est Cybersécurité.
« L’état de la menace est toujours sous-évalué »
Samuel Bouju, Secrétaire général aux Affaires régionales et européennes, a beaucoup insisté sur la menace cyber. « L’état de la menace est toujours sous-évalué. Elle n’a jamais été aussi élevée. On est dans un combat quotidien. Nos vies sont numériques, on est très vulnérables par construction. Nous vivons plus que connectés. Les services de l’État sont extrêmement mobilisés. La solution est dans la création d’un écosystème extrêmement étroit, très coopératif et soudé de défense, dans lequel, c’est l’affaire de tous ! La moindre distraction, la moindre insuffisance, la moindre innocence, dans l’utilisation d’une clé USB, dans l’accueil d’un stagiaire étranger ou français parfois, dans un ordinateur qu’on laisse allumé, dans une visite d’entreprise pour montrer les belles machines, et parfois on ouvre même le capot… On est tous d’une naïveté confondante.» Il appelle à « une prise de conscience, une attention, une mobilisation permanente pour ne pas baisser la garde. Appuyez-vous sur les sachants et sur les outils de formation et de développement de compétences. »
Une convention pour finir
Et pour apporter une pierre de plus à l’édifice de la cybersécurité, une convention a été signée par Jérôme Notin, directeur général du dispositif Cyber malveillance et Étienne Leroi, qui préside Grand Est Développement. Ils ont signé la convention du dispositif national 17Cyber qui vient renforcer l’articulation entre les initiatives régionales et les dispositifs nationaux, en intégrant l’offre d’accompagnement du CSIRT régional dans les parcours du 17Cyber. Jérôme Notin a détaillé toute l’importance de cette convention. « Ce dispositif a été voulu par le président de la République il y a trois ans. C’est l’équivalent collectif de l’appel du 17. C’est un dispositif national d’assistance aux victimes d’actes de cyber malveillance. On a créé avec le ministère de l’Intérieur, la police et la gendarmerie le 17Cyber, on a rajouté une composante qui est la capacité d’aider la victime à la judiciarisation. Cette convention apporte une dimension, la capacité des centres régionaux d’assistance aux victimes, les CSIRT, d’avoir les victimes au téléphone. » Étienne Leroi, de Grand Est Développement, s’est réjoui de voir l’État agir de façon cohérente avec l’échelon local. « Cette convention va nous permettre d’unir nos forces pour mener cette guerre. Nos résultats seront encore meilleurs avec le soutien de l’échelon national. »
Interview de Irène Weiss
« 50% des entités touchées ne s’en rendent pas compte ou ne déclarent pas l’incident »
Irène Weiss, conseillère régionale du Grand Est, est vice-présidente de la commission Enseignement supérieur, recherche et innovation en charge de la cybersécurité. Dans un point presse en marge du lancement du Hub Grand Est Cybersécurité, elle revient sur l’état de la menace cyber qui pèse sur les entreprises.
- Avez-vous des données concrètes qui confirment cette menace cyber ?
- Irène Weiss : « Il y a une complexité dans la cybersécurité, celle d’avoir des chiffres extrêmement précis. On estime à 50% des entités touchées qui ne s’en rendent pas compte ou ne font pas la démarche pour le reconnaître et le déclarer. Sans doute il y a cette crainte et cette honte, parce quand une entreprise se fait cyber attaquer, il y a tout l’échelon qui est mis en péril, des fournisseurs aux clients. Tous les maillons de l’entreprise sont impactés. Quand on a lancé notre schéma régional de cybersécurité il y a trois ans, on avait 50% des entreprises touchées par une attaque cyber, qui mettaient la clé sous la porte en 6 mois. Aujourd’hui, on en est à 70%. »
- Pour quelles raisons mettent-elles la clé sous la porte ?
- I.W. : « Parce qu’elles ont bloqué tout leur système, elles ne parviennent pas à reprendre le dessus. Même chose pour les collectivités ou les établissements hospitaliers, qui après une attaque cyber, n’ont pas réussi à récupérer toutes leurs données. Il y a l’exemple de la ville d’Erstein, dont toutes les données ont été volées. Encore aujourd’hui elle rame pour les récupérer. Il est important de les sensibiliser sur la valeur des données qu’elles possèdent. On a encore beaucoup de travail à faire sur ce volet de sensibilisation. »
- Comment peut intervenir une cyberattaque ? Est-ce en raison d’une erreur humaine ?
- I.W. : Une cyber attaque intervient aujourd’hui à 92% à cause d’une erreur humaine. Dans une entreprise former vos salariés est essentiel. Mais c’est aussi vrai pour tout citoyen. Et ces cybers attaques évoluent très rapidement, et aucune technologie ne suffit sans un minimum de vigilance. Le fait est qu’on a beaucoup numérisé. Les cybers attaques ciblent beaucoup les petites structures plus que les grandes entités. Elles sont plus sensibles au risque cyber. On a tout numérisé sans se soucier de ce qui pourrait advenir. C’est vrai dans le monde agricole : on a incité les agriculteurs à numériser complètement leurs systèmes sans leur donner les clés pour s’équiper. C’est aussi le cas des entreprises. »
- Quelle est l’ambition de ce Hub Grand Est Cybersécurité ?
- I.W. : « Le travail a été fait quatre à cinq ans avant de lancer ce Hub. On a pris notre bâton de pèlerin, on a référencé toutes les entreprises, les associations qui œuvrent dans la cybersécurité sur le territoire. C’est du reste devenu un enjeu récent ce qui a généré beaucoup d’initiatives, à travers des associations, des entreprises, des organismes de formation. Notre but a été de fédérer cet écosystème. C’est de permettre aux uns et aux autres de travailler ensemble, de mutualiser les aides. Parmi les invités présents dans la salle aujourd’hui, il y a bon nombre d’offreurs de solutions, des prestataires avec lesquels nous travaillons. Notre but est de faire monter en compétences les entreprises de cyber, les organismes de formation, les associations qui sont sur le territoire. Je suis persuadé, comme le président Leroy, que la cybersécurité se joue à un niveau très local. Demain le fait pour une entreprise d’avoir un lien avec un prestataire local va lui permettre d’être accompagnée. »
- Comment se fait-il que les entreprises sous-estiment à un tel point le risque cyber ? Très peu sont assurées : moins de 5% ?
- I.W. : « Les assurances, c’est un vrai enjeu ! Le jour où les choses changeront sera quand les assurances obligeront les entreprises, les entités à être correctement équipées pour les assurer. En attendant, les cyberattaques ont été multipliées par 40 voire 60 entre 2020 et 2023. Je vous laisse imaginer le panorama au niveau financier à cette période avec le covid. Concrètement pour les entreprises ce n’était pas leur priorité. C’est un coût de s’équiper. Une loi européenne va voir le jour. Il s’agit de la directive NIS 2. Elle cible les entités qui sont à risques, celles qui ont plus de 200 salariés, elle cible aussi les collectivités de plus de 20 000 habitants. Cette loi va éveiller et réveiller les consciences, sur le besoin de s’équiper. Sur l’obligation de s’équiper sous peine d’amende. Et ça va dans le bon sens. »
