Dans un rapport d’analyse, la Cour des comptes constate la pertinence de Cybermalveillance.gouv.fr, mais réclame plus de moyens pour ACYMA, le groupement d’intérêt public (GIP) derrière la plateforme. Des moyens qu’il convient en outre de pérenniser pour atteindre les objectifs initiaux.
« Tous les rapports consultés ainsi que le rapport d’activité 2020 du GIP témoignent d’une intensification des activités cybercriminelles qui se sont développées de manière contextualisée ou opportuniste ». La photographie n’est peut-être pas bien originale, mais elle est faite par la Cour des comptes dans un rapport d’analyse que nous avons pu consulter.
Création de l’agence nationale de la sécurité des systèmes d’information (ANSSI) en 2009, régulation des opérateurs d’intérêt vital (OIV), des opérateurs de services essentiels (OSE), la trousse à outils s’est enrichie au fil des stratégies de cybersécurité, avec notamment ce fameux « dispositif d'assistance aux victimes de cybermalveillance », calibré pour apporter « une réponse technique et judiciaire » aux victimes.
Ses grands axes étaient tracés en 2015 pour être dévoilés en 2017 au FIC de Lille, par Axelle Lemaire, secrétaire d’État au numérique, Thierry Delville, le délégué ministériel à la lutte contre les cybermenaces, au côté de Guillaume Poupard, directeur de l’ANSSI. La plateforme Cybermalveillance.gouv.fr a ouvert ses portes en mai 2017, en débutant une expérimentation de quelques mois dans les Hauts-de-France.
Assister, prévenir, observer… Les missions sont plurielles, même si Cybermalveillance est avant tout connue pour aider les personnes physiques ou morales et administrations (hors opérateurs d’importances vitales) à entrer en relation avec des prestataires de proximité ou nationaux (Gendarmerie, Police, etc.).
Faire le lien
« Près de 225 000 victimes [ont été] assistées depuis le lancement du dispositif Cybermalveillance.gouv.fr en 2017 » relève la Cour des comptes. « Les demandes d’assistance émanant des particuliers en 2019 ont principalement porté sur le chantage à la webcam (38 %), suivi du piratage de compte en ligne (14 %) et de l’hameçonnage (13 %) devant les spams (7 %), les virus (6 %) et les arnaques au faux support technique (4 %). En 2020, la tendance se confirme avec des recherches d’assistance portant principalement sur l’hameçonnage (17 %), suivi du piratage de compte (12 %) et du faux support technique (11 %) ».
Pour le rapport d’analyse, ce GIP présente l’intérêt premier de compléter l’offre de l’État « en fournissant une réponse technique et pratique à un public hors OIV/OSE au niveau local qui se trouve démuni devant une agression cyber ».
Sa force ? Une « capacité à faire le lien, via son réseau de partenaires et de prestataires, entre la victime potentielle, les services des ministères de l’intérieur et de la justice, et les sociétés capables d’apporter rapidement une solution au problème rencontré ».
Un déficit de notoriété
Le rapport constate néanmoins plusieurs problèmes à combler. Déjà, un déficit de notoriété du GIP et de la plateforme Cybermalveillance.gouv.fr. Pour cela, elle prône « une communication accrue visant un large public pour aider à mieux comprendre les risques numériques et pour donner les bons réflexes en cas d’attaque », et ce même si les dépenses de communication ont représenté 25% en 2020.
Autre problème à corriger : dans l’acte de naissance au Journal officiel, il est prévu que le GIE fournisse des « éléments statistiques offrant une vue réelle et consolidée de la menace cyber afin de mieux l'anticiper à travers la création d'un observatoire dédié ». Si le GIE donne régulièrement des statistiques, la Cour des comptes relève que « la mise en place de cet observatoire de la menace n’est pas effective et les capacités d’exploitation "stratégique, tactique et technique" des données ne sont pas réalisées ».
Surtout, le rapport juge nécessaire de renforcer les moyens du GIP ACYMA, appelé par ailleurs à être un « contributeur majeur » dans le continuum contre la cybermalveillance. « Reposant largement sur un financement public, les ressources financières du groupement doivent poursuivre leur diversification et, surtout, être mises en adéquation avec les missions et les objectifs qui lui ont été confiés par ses membres et par ses tutelles ».
Des ressources à renforcer, des ressources à pérenniser
Pour solidifier ce budget, le rapport plaide pour « un soutien administratif plus conséquent » et « un suivi plus précis ». Si chaque année, l’ANSSI lui attribue environ 630 000 euros, du côté du privé, les sociétés membres versent de 25 000 euros (Bitdefender, Bouygues Télécom, Eset, Microsoft, etc.) à 100 000 euros (Orange Cyberdéfense, partenaire traditionnel, et Google, depuis cette année).
Le montant total de ces contributions privées est de 705 000 euros pour 2020, avec une moyenne de 33 000 euros par acteur. Seulement, se pose « la question de son modèle fondé sur un financement public et privé, et du développement à terme du financement des partenaires privés, des sociétés membres » relève la Cour des comptes.
Et pour cause, ces montants peuvent évoluer chaque année, dans les limites de la convention initiale. En outre, si ACYMA a perçu en 2021 une subvention exceptionnelle, celle-ci « ne prévoit pas de budget destiné à une vaste campagne de sensibilisation comme le souhaiterait le pôle communication en raison du coût élevé de sa diffusion ».
Ces aides ne sont donc pas vraiment pérennes quand le modèle du GIP est celui de la Prévention Routière. À ce titre, relève encore le rapport, « une évaluation sommaire par le service d’information du gouvernement (SIG) établissait qu’un budget annuel de quatre millions d’euros serait nécessaire, a minima » afin de financer des campagnes radios et TV.
Une présence symbolique au Cyber Campus
En attenant, la Cour des compte déconseille l’installation du groupement entre les murs du tout récent Cyber Campus de La Défense.
Elle ne devrait « se faire que de manière symbolique, par l’occupation possible d’un bureau de passage, pris éventuellement au besoin sur la surface occupée par l’ANSSI, par un agent de liaison ». Mais pas plus… Et pour cause, « le coût du loyer au m² paraît rédhibitoire pour l’installation de l’ensemble du GIP et présenterait peu d’intérêt pour l’ensemble de son activité en dehors des nécessaires échanges avec la communauté cyber sur la construction d’un observatoire de la menace, demandée par tous les acteurs ».
Des pistes pour mieux financer le GIP
L’une des voies pour sanctuariser et même amplifier ses moyens pourrait être d'inscrire ses missions dans la loi, avec un programme spécifique dans la loi de finances.
D'autres pistes du rapport se focalisent sur les contributions versées par les acteurs privés : « de grandes entreprises du numérique, notamment celles des grands acteurs internationaux de l’internet ou de l’édition de logiciels, contribuent au même niveau que des PME ».
La Cour des comptes considère qu'il serait judicieux « d’inciter ces membres à apporter une contribution plus en rapport avec leur surface financière en leur assurant éventuellement de meilleures retombées en termes d’image », tout en reconnaissant que « ceci est rendu difficile, voire impossible, par le principe d’égalité entre les membres, indépendamment du montant de leur contribution ».
Un scénario se concentre sur la liste des contributeurs, avec l'idée d'« élargir le cercle des contributeurs, notamment en y intégrant les autres bénéficiaires et partenaires que sont les grandes collectivités locales comme les régions et les associations les représentant (association des maires de France, associations des régions notamment) ou encore les établissements hospitaliers et les différents groupements (Assistance publique des hôpitaux de Paris, hospices civils de Lyon, APHM, etc.) ».
De même, « les compagnies d’assurance et les banques, qui pâtissent dans leur activité des actes de cybermalveillance, pourraient également être utilement mises à contribution ».
Dans sa besace, la Cour de comptes suggère encore d’« abandonner la philosophie du tout gratuit ». Le GIP « fournit de nombreuses prestations de formation et d’homologation, notamment des entreprises chargées de la remédiation aux actes de cybermalveillance qu’elle met en relation avec les usagers victimes par l’intermédiaire de son site web et de la plateforme de référencement qui y est associée sans aucune contrepartie sous quelque forme que ce soit ».
L'idée serait de faire payer une redevance aux professionnels, pour cette homologation. « Si la totale gratuité, commune à l’ANSSI, peut se justifier lors d’une phase d’ "évangélisation" elle apparaît moins légitime au long cours ».
Autre chemin à envisager, « le recours à l’appel public à la générosité, notamment en direction des entreprises et du mécénat, qui offrirait un avantage fiscal supplémentaire aux donateurs ». Un rescrit fiscal a été en ce sens adressé à l’administration fiscale. Il permettra de mesurer la solidité d’une voie.
De manière un peu plus original, est envisagé également de financer le groupement « au moyen d’amendes perçues sur les failles de sécurité par les éditeurs concernés ou sur les manquements à la sécurité constatés dans le respect des règles du RGPD ». Le rapport concède néanmoins « même si la mise en oeuvre opérationnelle de ce type d’amende administrative serait quelque peu délicate en l’état, le GIP n’étant pas une autorité administrative indépendante et ne pouvant y procéder de sa propre initiative ».
Une certitude, « après une phase de constitution, le GIP semble avoir atteint un palier qui n’est toutefois pas à la hauteur des ambitions initiales, faute de ressources suffisantes ».
En conclusion, elle estime que « le groupement a été correctement géré, y compris pendant la crise sanitaire, en respectant son obligation statutaire de maintien à l’équilibre des comptes. Cette gestion à l’équilibre s’est toutefois effectuée au prix du sacrifice partiel du budget de communication, pourtant primordial pour un organisme dont l’activité s’adresse principalement au grand public et dont le besoin de notoriété est essentiel pour parvenir à le toucher, notamment au titre de ses activités de prévention ».
Commentaires (0)