La France devrait compter à terme 5 à 600 grandes entreprises ou institutions soumises à des obligations particulières en matière de cybersécurité, a indiqué jeudi un responsable de l'Anssi, le gardien de la sécurité informatique française.
Ces entreprises sont des opérateurs d'importance vitale (OIV), dont l'activité est stratégique pour l'économie (énergie et transports par exemple), et les opérateurs de service essentiels (OSE), soumis à un cahier des charges un peu moins contraignant.
Il existe environ 200 OIV, et les OSE sont en cours de désignation par l'État, en application d'une directive européenne de juillet 2016.
"Ils sont 122 aujourd'hui, il y aura une deuxième vague d'ici la fin de l'année, et une troisième vague en 2020", a expliqué Patrice Bigeard, un responsable de l'Anssi (Agence nationale de sécurité des systèmes d'information), lors d'une convention organisée à Paris par l'éditeur d'antivirus Eset.
L'Anssi est chargée d'aider l'Etat à définir la liste des opérateurs visés, qui est confidentielle. Elle vérifie ensuite l'application par les entreprises de leurs obligations.
L'énergie, les transports, la santé, les banques, les infrastructures numériques, la gestion de l'eau sont particulièrement concernés par le statut d'OSE.
Mais l'Anssi propose de rajouter certains secteurs comme l'assurance, l'éducation (Parcoursup notamment) et l'assainissement des eaux, a expliqué M. Bigeard. Pôle emploi et des opérateurs de restauration collective pourraient également être concernés, a-t-il indiqué.
L'Anssi escompte que "par capillarité", l'effort de sécurité informatique demandé à ces opérateurs va se diffuser "aux fournisseurs, aux prestataires de rang 1 et rang 2", a-t-il souligné.
Le responsable de l'Anssi a par ailleurs indiqué que l'agence travaillait en particulier en ce moment sur les attaques visant les entreprises de services numériques (ESN), ces grands prestataires auxquels les entreprises sous-traitent une partie de leur informatique.
Un groupe de travail a été constitué avec le secteur pour identifier les bonnes pratiques qui permettent d'arriver à "des prestations d'assistance et de maintenance sécurisée" et "poser les bases d'une relation saine entre l'info-gérant et son client", a-t-il expliqué.
Les entreprises doivent faire face depuis quelques mois à des attaques d'extorsion de fonds de plus en plus ciblées et sophistiquées, a-t-il également averti.
Ces attaques visent "des grandes entreprises qui sont à un moment particulier, fusion-acquisition, un plan social, un nouveau dirigeant qui peut laisser penser aux attaquants qu'il y a une vigilance réduite".
En 2018, une entreprise a perdu 19,2 millions d'euros dans une attaque passant par les e-mails et l'ingénierie sociale, c'est-à-dire un travail de renseignement préalable pour monter une arnaque sophistiquée, a-t-il dit.