"On constate que la capacité des cybercriminels croît plus vite que la capacité de l'ensemble des organisations à se protéger", affirme Henri d'Agrain, le délégué général du Cigref, une association française qui représente les grandes entreprises et administrations utilisatrices du numérique. "Si on continue comme ça, dans dix ans c'est le chaos dans l'espace numérique", regrette-t-il.

Selon lui, les entreprises les plus sécurisées ont du mal à tenir le rythme dans le cycle infernal découverte de vulnérabilité/remédiations.

"Un industriel reconnu opérateur d'importance vitale (soumis par la loi à de strictes obligations de sécurité, NdlR) nous expliquait récemment que compte tenu du rythme actuel de découverte des vulnérabilités et du temps nécessaire pour la remédiation, il y avait toujours en permanence trois-quatre failles qui restent ouvertes aux attaquants", souligne-t-il.

Interrogé sous couvert de l'anonymat, le responsable de la sécurité informatique d'une grande entreprise française confirme un sentiment général d'usure et de fatigue dans sa communauté professionnelle. "C'est épuisant, toutes les semaines on a une grosse vulnérabilité" à laquelle il faut remédier en urgence.

Trop haut niveau de vulnérabilité toléré

"Et il y a de plus en plus d'incidents chez les partenaires", les sociétés de services informatiques ou éditeurs des logiciels dont l'entreprise est cliente, souligne-t-il. "Je travaille dans une grosse société, j'ai des équipes, mais je n'imagine même pas comment les petites sociétés font".

Pour beaucoup, l'industrie du logiciel et du numérique est victime de l'emballement des dernières décennies autour des nouvelles applications du numérique. Éditeurs et développeurs ont exploité à tour de bras les immenses possibilités ouvertes par internet et la démocratisation d'énormes puissance de calcul, sans sécuriser suffisamment leurs produits.

"Dans le numérique, on tolère un niveau de vulnérabilité qu'on ne tolérerait pas dans les transports ou dans l'agro-alimentaire", affirme un haut-fonctionnaire français et vieux routier du numérique.

"Les gens du numérique le savent, mais il y a une sorte de fatalisme" devant l'impossibilité de se faire entendre de directions générales et de décideurs qui persistent à considérer la sécurité "comme une source de coûts", alors qu'elle est au contraire à mettre à l'actif de l'entreprise, explique-t-il.

"On fait reposer notre société sur un ensemble de technologies numériques qu'il va falloir qu'on apprenne à sécuriser. Peut-être qu'on n'est qu'au début, comme on l'était au début de l'aéronautique" lorsqu'il a fallu apprendre à fiabiliser les avions, renchérit Bernard Barbier, ancien directeur technique de la DGSE.

Le protocole internet inadapté

Le protocole internet par exemple, brique fondamentale d'internet, n'a "absolument" pas été conçu dans une optique de sécurisation face à des acteurs malveillants.

Pour renverser la vapeur, le Cigref promeut notamment l'adoption de normes ou de labels permettant aux entreprises de valoriser leur efforts de sécurisation.

"Il faut reprendre les méthodes de développement pour qu'au moins les nouveaux produits repartent sur des bases saines", estime Henri d'Agrain, qui promeut le principe de "sécurité dès la conception" (security by design).

"Il y a des référentiels qu'il faut faire évoluer et développer, et rendre obligatoire, a minima en Europe, quand on met sur le marché des applications numériques", estime-t-il.

Le Cigref recommande aussi une action plus forte de l'Etat dans son domaine régalien, comme le renforcement des moyens de la justice et de la police pour la lutte contre la cybercriminalité. Si nécessaire, les Etats doivent pouvoir utiliser la force et leur droit de violence légitime contre ces adversaires pour les neutraliser là ou ils sont.

En France, "on peut penser au Comcyber (NDLR les militaires français chargés des armes informatiques) - à la DGSE ou à la DGSI".