Cybersécurité : Vers la responsabilisation de l’ensemble de la chaîne de production

Représentant plus de 95 % du tissu économique et près de la moitié des emplois salariés en France, les TPE et PME jouent un rôle essentiel dans le futur économique et social de notre pays. Cependant, force est de constater que les dirigeants de TPE-PME françaises ne considèrent pas – encore aujourd’hui – la révolution numérique, ses opportunités et les risques nouveaux qu’elle induit pour la sécurité de leurs activités, comme une priorité stratégique. La transformation numérique, mécaniquement, augmente la surface des attaques. Or, pour plus de la moitié de ces entrepreneurs, la transformation numérique « ne menace en rien leurs activités pour au moins les cinq prochaines années ». En 2017, 29 % des TPE-PME ayant été victimes d’une cyberattaque déclaraient n’avoir rien changé à leur politique de sécurité.

À l’heure où la problématique de la cybersécurité n’a jamais été aussi vive, cette note est l’occasion d’interroger cette vision et les mesures visant à la dépasser. Le paradoxe entre cette place névralgique au sein de l’économie française et cette faiblesse en matière d’appréhension des enjeux de cybersécurité pose une double problématique, à la fois quant à la vulnérabilité propre de ces entreprises face aux cyber risques et celle de leur responsabilité vis-à-vis du reste de la chaîne de production. Si cette problématique revêt un enjeu économique majeur, avec en ligne de mire le risque de paralysie de notre tissu économique, elle revêt également une dimension sociétale forte en termes de confiance dans la transformation numérique de notre société.

Au cœur de l’actualité avec les récentes attaques qui ont affecté de nombreuses entreprises françaises, non seulement de grandes entreprises telles que Renault ou encore Saint-Gobain, mais également les TPE-PME, qui concentrent 80 % des cyberattaques en France, le débat sur les enjeux de cybersécurité s’inscrit aujourd’hui dans les priorités de l’État français et de l’Union européenne. Le récent « Appel de Paris pour la confiance et la sécurité dans le cyberespace » lancé par le Président de la République, Emmanuel Macron, lors du Forum sur la Gouvernance de l’Internet, illustre cette attention publique. Cette problématique s’inscrit également dans le débat législatif européen. Le Règlement général sur la protection des données (RGPD), entré en vigueur en mai dernier, a ainsi permis aux entrepreneurs d’être sensibilisés à leur responsabilité en matière de protection des données et donc de sécurité. Plus récemment, la Commission européenne a proposé de créer « un cadre commun de certification de cybersécurité », présenté dans le cadre d’un « paquet cyber », un ensemble de mesures de lutte contre les cyber attaques à l’encontre des entreprises.

En s’intéressant aux actions menées sur le terrain, tant par la puissance publique que par les acteurs privés en matière d’accompagnement des TPE-PME, cette note s’attache à questionner les conditions de mise en œuvre du processus de sécurisation de l’ensemble des acteurs de la chaîne de production.