"Les attaques cyber ne sont pas l’apanage du secteur civil, nos systèmes militaires, eux aussi, sont épiés, visés, attaqués. Je parle de nos systèmes militaires, et par là je désigne non seulement des réseaux du ministère, mais aussi de ceux de nos industriels, de nos partenaires, de leurs sous-traitants", a déclaré Florence Parly lundi 1er avril lors d’un discours à l’Institut des hautes études de défense nationale.

Ces entreprises, ce sont les OIV (opérateurs d’importance vitale). Elles sont environ 250 dans les secteurs bancaire, santé, énergie, alimentaire, télécoms. Leur nom est classé secret défense. Si jusque-là elles avaient le devoir de protéger leurs réseaux, elles en ont désormais l’obligation au regard de la Loi de Programmation Militaire en s’équipant de dispositifs certifiés.

"On attendait cette annonce depuis deux ans"

L’Agence nationale de la sécurité des systèmes d’information (Anssi) a annoncé ce jeudi 4 avril la listes des entreprises habilitées à fournir des systèmes de détection. Seuls deux ont été validées: Thalès et GateWatcher. Les prestataires certifiés pour leur installation sont Orange, Sogetti et Sopra Steria.

Les OIV ont désormais deux ans pour installer ces sondes de détection d’attaques. S’ils ne le font pas, leur dirigeant pourra être poursuivi pénalement en cas de cyberattaques, comme le précise l’article 22 de la LPM (Loi de programmation militaire).

Ces sondes ne visent pas à protéger les réseaux, mais à lancer une alerte en cas de tentative d’intrusion. "On peut les comparer aux détecteurs d’incendie qu’il y a dans nos domiciles, à la moindre fumée, elles envoient une alerte pour lancer les mesures nécessaires afin de stopper la cyberattaque", explique Jacques de La Rivière, cofondateur et PDG de GateWatcher, une entreprise créée il y a seulement quatre ans.

L‘application de cette réglementation devenait urgente: les cyberattaques se multiplient et mettent en danger des entreprises stratégiques. "On attendait cette annonce depuis deux ans", nous a signalé Gerome Billois, expert en cybersécurité pour le cabinet Wavestone, lui-même certifié par l’Anssi. 

Culture de la réglementation

La dernière cyberattaque d’ampleur a paralysée 400 serveurs du groupe Altran. Les pirates ont exigé une rançon d’un million d’euros que le groupe aurait payé selon L’Express. D’autres sources nous ont avancé que malgré cela, Altran n’aurait pas reçu les clés de déblocage des infrastructures ce qui confirme l’avertissement de Guillaume Poupard, patron de l’Anssi de ne jamais céder au chantage.

Pour Jacques de La Rivière, il devenait urgent d’imposer aux entreprises une technique de défense. "La France manque de prise de conscience du risque cyber, à la différence d’autres pays qui l’intègrent naturellement", estime le dirigeant pour qui cette particularité française a néanmoins du bon. "Elle va certainement inspirer d’autres pays comme ça a été le cas avec le RGPD et la protection des données".

La France est en effet le premier pays au monde à obliger les entreprises à protéger leurs services numériques. "On critique parfois notre culture de la réglementation, mais cette fois, elle nous donne de l’avance", estime Jacques de La Rivière.