Le Journal du Palais. Pouvez-vous nous rappeler l’enjeu de la cybersécurité, pour les entreprises et les collectivités locales, ainsi que les structures type CHU par exemple ?
Patrick Molinoz. Tout d’abord il faut rappeler que la cybersécurité est un des principaux défis de la numérisation de la société. J’aime rappeler que l’univers numérique devrait être pensé comme le monde « physique » : il n’y a ni liberté, ni démocratie, ni croissance pour les citoyens dans le monde « physique » sans sécurité. C’est la même chose avec le numérique.
Il est donc nécessaire de protéger les données collectées et les systèmes qui les traitent pour permettre le fonctionnement normal, et sain, de leur activité.
La question n’est pas de savoir « si » une cyberattaque aura lieu, puisqu’il est certain qu’elle aura lieu, mais « comment » s’en protéger... une des spécificités de la cybercriminalité est que les attaques sont de plus en plus « tous azimuts ». En Bourgogne Franche-Comté comme ailleurs de nombreuses entités, de toutes tailles, publiques et privées, sont victimes d’attaques informatiques chaque année.
Les collectivités, les entreprises les citoyens eux-mêmes produisent et/ou collectent des données qui intéressent une multitude de tiers malveillants. Les cybercriminels peuvent chercher à exploiter des données volées pour leur intérêt propre (espionnage économique ou technologique…), à s’en servir comme « monnaie d’échange » (extorsion, chantage) ou même dans le cadre d’opérations de déstabilisation politique (influencer des processus électoraux…) et économique (déstabilisation macroéconomique).
Si la majorité des cyberattaques a pour but l’extorsion via des rançongiciels (programmes qui rendent inutilisables les données par leur propriétaire) ou la fraude bancaire (principalement des demandes de changement de coordonnées bancaires pour le paiement des factures) l’argent n’est pas tout… Au-delà des dommages financiers il faut se protéger de la paralysie… il est donc vital (au sens propre parfois) de garantir la poursuite du fonctionnement des entités attaquées et singulièrement des services publics. Ainsi en ce qui concerne les CHU il faut évidemment garantir la continuité des soins des patients, même avec un système d’information dégradé, et protéger les données de santé.
Quel est le bilan des premières années d’existence du CSIRT-BFC ?
Le CSIRT-BFC, mis en oeuvre par l’Agence Régionale du Numérique et de l’intelligence artificielle (ARNia) pour le compte de la région, est opérationnel depuis 2022, grâce au financement de l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Le nombre de sollicitations augmente régulièrement. Entre 2023 et 2024, l’évolution est de + 61%. Le CSIRT-BFC s’adresse aux entreprises, établissements publics, collectivités et associations.
Au-delà de la réponse aux incidents, le CSIRT-BFC joue plusieurs rôles : la sensibilisation (près de 40 interventions en 2024), la détection de vulnérabilités (2.200 sites ont été analysés en 2024) et l’animation de la filière.
Notre rôle est essentiel car sans nous, il n’existe pas de structure au service des entreprises et collectivités de taille intermédiaire. Nous sommes à ce propos préoccupés pour l’avenir car l’ANSSI n’envisage plus de financer les CSIRT… or il n’y a que deux solutions pour ne pas abandonner les PME et les collectivités : soit l’ANSSI s’en occupe directement, soit elle poursuit son soutien aux CSIRT régionaux. La présidente de la région est mobilisée sur ce sujet.
Quels sont les enjeux de ce Forum consacré à la cybersécurité en BFC ?
Le Forum Cybersécurité et Numérique est le fruit de la mobilisation de la filière (French Tech BFC), de l’ANSSI et de l’ARNia. Evénement régional il est un rendez-vous majeur pour les acteurs de la filière cybersécurité en Bourgogne Franche-Comté.
À destination de tous les décideurs - en entreprises, en collectivités ou dans les associations – le Forum a pour objectif d’augmenter la sensibilisation à cette thématique devenue cruciale et de mettre en relation des fournisseurs régionaux d’offres de cybersécurité avec des entités demandeuses. En Bourgogne Franche Comté la question de la cybersécurité est ainsi placée au coeur des enjeux stratégiques tant pour le secteur public que privé.
Quel arsenal juridique pour protéger les entreprises vis-à-vis des réglementations étrangères notamment concernant la protection des données ? Faut-il pour les administrations et les collectivités locales une obligation d’utilisation de suites bureautiques et d’hébergement français ?
Les législateurs, français comme européens, mènent des travaux de réglementations autour de ces sujets. Le Règlement général sur la protection des données (RGPD) a été l’une des premières pierres. Nous allons devoir mettre en place la directive européenne relative à la sécurité des réseaux et des informations (NIS 2) qui impactera les entreprises et les administrations publiques. Cette dernière oblige les organisations à appliquer des règles renforcées en matière de cybersécurité.
Pour les fournisseurs de solutions numériques, le règlement européen Cyber Resilient Act poursuit le même objectif en matière de logiciel et de matériel.
Enfin la souveraineté est cruciale. Et elle ne se limite pas à la question des logiciels mais concerne aussi l’hébergement des données (qui doit être français ou européen) voire, la problématique des matériels et composants eux-mêmes. Pour que la souveraineté numérique ne soit pas qu’un slogan, il faut à la fois des champions européens et un « small business act numérique ».
