Une feuille de route pour la cybersécurité

La revue stratégique de cyberdéfense de 2018 recommande l’émergence, sur le territoire, de pôles de compétences et de ressources en cybersécurité. Et ce, afin de soutenir l’ensemble des collectivités territoriales et les entreprises ne disposant pas de ressources internes suffisantes pour lutter contre la cybercriminalité. Les Régions pourraient jouer un rôle central.
Ces pôles déploieraient, notamment, une offre de services comme la fourniture d’avis techniques, la rédaction de spécification, des audits de cybersécurité, la sensibilisation et la formation des employés. 
Pour mettre en place ce type de structure qui nécessite un bon niveau de proximité sur un territoire aussi vaste que la Nouvelle-Aquitaine, le soutien de la Région à l’installation d’un réseau de centre de ressources est nécessaire. La Région a d’ores-et-déjà encouragé cette démarche. Et des embryons de projets innovants, portés par des regroupements d’acteurs publics et privés, sont en cours de définition sur Mont-de-Marsan, Niort, Limoges et Bordeaux.

La feuille de route 2020-2022 accompagne, d’une part, la mise en place d’une organisation renforçant les synergies entre les acteurs néo-aquitains publics et privés, autour de 3 piliers principaux :

• Action 1 : Préciser les missions et le modèle économique d’un campus régional de la cybersécurité et de la confiance numérique ;
• Action 2 : Mettre en place un conseil d'orientation pour la cybersécurité et la confiance numérique, interlocuteur privilégié de la Région Nouvelle-Aquitaine ;
• Action 3 : Soutenir le déploiement d'un réseau néo-aquitain de centres de ressources en cybersécurité.

Cette nouvelle feuille de route cible également quelques actions prioritaires soutenant cette nouvelle organisation :

• Action 4 : Développer une offre ouverte d'hébergement hautement sécurisé des données publiques et privées ; interconnecter les centres de données stratégiques au sein d’un réseau régional fibré performant et sécurisé ;
• Action 5 : S’appuyer sur l’agence de développement et d’innovation de Nouvelle-Aquitaine ADI-NA pour accompagner la structuration et la mise en réseau des centres de ressources ;
• Action 6 : Soutenir le CLUSIR  dans son déploiement régional pour assurer la cohérence des actions en cybersécurité auprès des centres de ressources ;
• Action 7 : Cartographier les offres de produits et services de cybersécurité des acteurs publics et privés en Nouvelle-Aquitaine ;
• Action 8 : Développer une plateforme numérique de la cybersécurité et de la confiance numérique pour la valorisation de l’offre publique et privée de services et produits de cybersécurité, et plus généralement pour la sensibilisation des acteurs socio-économiques et la promotion des bonnes pratiques ;
• Action 9 : Étudier la faisabilité d'un SOC  externalisé et mutualisé au profit des PME/TPE et des collectivités territoriales ;
• Action 10 : Monter et entrainer une équipe de hackers éthiques  représentant la Région dans les compétitions nationales et internationales ;
• Action 11 : Organiser sous l’égide de la Région une représentation néo-aquitaine au FIC  pour la promotion des entreprises de Nouvelle-Aquitaine ;
• Action 12 : Maintenir la forte dynamique des 1ères assises régionales de la cybersécurité en pérennisant l'événement.

La feuille de route 2020-2022 met en avant des actions visant à accroître la résistance et la résilience de l’écosystème face aux cybermenaces.

Les grosses PME et ETI intègrent généralement une bonne expertise dans la gestion de leur système d’information. Mais nombre d’entre elles ne disposent toujours pas dans leur référentiel du document stratégique décrivant leur politique de sécurité des systèmes informatiques (PSSI) : il faudra donc accompagner ces entreprises dans son élaboration en s’appuyant sur des méthodologies maintenant bien maîtrisées par de nombreux prestataires. Pour assurer le suivi de la mise en œuvre des orientations de la PSSI, un soutien financier à la réalisation d’audits est proposé.

Concernant toutes les entreprises et les organismes publics, la feuille de route privilégie une action visant à révéler dans leurs systèmes informatiques des failles de sécurité. Elle mobilisera des équipes de hackeurs éthiques et autres prestataires maîtrisant les différentes méthodes nécessaires à ce type d’activité.

La feuille de route souhaite également sensibiliser le grand public sur ce phénomène. En collaboration avec Pôle-Emploi et l’ANSSI, elle va définir un programme ambitieux de sensibilisation aux cyber-risques, à destination des demandeurs d’emploi. Expérience qu’ils pourraient valoriser auprès de leurs futurs employeurs. Elle ambitionne aussi de contribuer à faire de la Nouvelle-Aquitaine une région pilote dans l’innovation au service de l’inclusion numérique.

• Action 13 : Lancer une action collective avec les grosses PME et ETI pour l’élaboration de leur PSSI, et en assurer le suivi via des audits ciblés sur les orientations de leur référentiel de sécurité ;
• Action 14 : Mettre en place un programme au bénéfice des entreprises et organismes publics pour identifier des failles de sécurité dans leurs systèmes informatiques ;
• Action 15 : Soutenir et promouvoir les évènements néo-aquitains récurrents en cybersécurité, et sensibiliser à la cybersécurité via les évènements ne ciblant pas particulièrement cette thématique ;
• Action 16 : Concevoir un programme régional innovant de sensibilisation/formation à destination du grand public, et le déployer en s’appuyant sur le réseau des tiers-lieux régionaux ;
• Action 17 : Concevoir et lancer une campagne de communication pour renforcer la sensibilisation d’un grand nombre d’entreprises aux cybermenaces ;
• Action 18 : Soutenir les universités et les écoles dans la mise en place de formations diplômantes en cybersécurité sur les aspects technologiques, éthiques, juridiques, d’intelligence économique et de management du cyber-risque ;
• Action 19 : Attirer et/ou promouvoir les offres publiques et privées de formation en cybersécurité, en privilégiant celles labellisées par l’ANSSI ;
• Action 20 : Enrichir et promouvoir le catalogue de formation dans le réseau des futurs centres de ressources néo-aquitains en cybersécurité.

La Région Nouvelle-Aquitaine bénéficie d’un socle solide de centres de recherche, de startups et d’entreprises performantes sur lequel une stratégie régionale peut s’appuyer, notamment avec plus de 120 entreprises proposant des solutions d’intervention après incidents  et une vingtaine de startups ou PME dont l’activité est fortement focalisée sur les produits et services de cybersécurité, parfois avec une bonne notoriété internationale. Mais d’autres atouts présents en région peuvent être mobilisés dans une approche collaborative pour l’innovation, comme : la forte concentration d’organismes dans le secteur de l’assurance où le risque cyber est une préoccupation majeure, l’expertise dans la gestion sécurisée des données de santé, les technologies de l’intelligence artificielle…

La Région Nouvelle-Aquitaine doit aussi asseoir sa stratégie sur la mise en place de chaires au bénéfice de la recherche académique et industrielle. Et des alliances au niveau européen sont incontournables, notamment avec l’Espagne et l’Allemagne où des liens sont d’ores et déjà en construction sur le thème de la cybersécurité.

• Action 21 : Initier un programme de chaires industrielles soutenant l’innovation dans le domaine de la cybersécurité pour les acteurs publics et privés ; Afficher le soutien de la Région à la thématique cybersécurité dans ses appels à projets recherche ;
• Action 22 : Soutenir les initiatives s’appuyant sur les technologies de l’intelligence artificielle et les plateformes de logiciel libre dans le développement de produits et services innovants de cybersécurité ;
• Action 23 : S'appuyer sur le Centre Aquitain des Technologies de l'Information et Electroniques (CATIE) pour accélérer le transfert de technologie dans le domaine de la cybersécurité ;
• Action 24 : Soutenir le développement de liens ciblés à l'international pour accroitre l'expertise régionale de la recherche académique en cybersécurité ;
• Action 25 : Favoriser la mise en place de consortiums d’acteurs publics et privés néo-aquitains porteurs d’innovations en cybersécurité pour faciliter leur participation future à des appels à projets nationaux ou européens ;
• Action 26 : Renforcer l’écosystème régional sur la chaine de valeur du montage et du suivi de projet en cybersécurité dans les programmes européens ;
• Action 27 : Soutenir le développement de démonstrateurs ou de briques technologiques en cybersécurité porté par des consortiums impliquant des acteurs néo-aquitains publics ou privés ;
• Action 28 : Accompagner les fonds d’investissement dans le développement des entreprises néo-aquitaines innovantes en cybersécurité.