Archive pour le Tag 'cyber».'

La stabilité financière mondiale menacée par le risque cyber

 Dans son rapport sur la stabilité financière mondiale dont l’intégralité paraitra le 16 avril, le fonds monétaire international consacre un chapitre entier sur la manière dont la menace cyber peut affecter la finance mondiale. On sort vraiment de la simple perspective d’un rançongiciel qui bloque une banque. Il y a d’abord quelques ordres de grandeur à avoir en tête. Depuis 2020, les pertes directes (coût de rétablissement, amendes, rançons, pertes de chiffre d’affaires dû à la paralysie) cumulées d’incidents cyber se montent à 28 milliards de dollars. Et on ne parle même pas des pertes indirectes (perte de réputation, déclin du business, dépenses supplémentaires pour se protéger…). 20 % déjà des attaques cyber-affectent le secteur financier, dans l’ordre, les banques puis les assurances. Les services financiers auraient perdu 12 milliards d’USD depuis 2004, dont 2.5 milliards ces trois dernières années. Et pourtant aucune attaque n’a eu une ampleur systémique dans la finance. Cela ne va pas durer, dit le FMI, avec l’innovation technologique, la transformation digitale des banques qui augmente la surface d’attaque et qui font qu’une attaque du passé qui se reproduirait aujourd’hui provoquerait bien plus de dégâts. Le FMI cite à juste titre l’événement précurseur de la filiale américaine de la plus grande banque chinoise qui a été paralysée par un rançongiciel et qui a perturbé le marché de la dette américaine (qui heureusement ne dépendait pas que d’elle pour bien fonctionner).

 

par Par Charles Cuvelliez, Université de Bruxelles, Ecole Polytechnique de Bruxelles et Chief Information Security Officer (Belfius) et Jean-Jacques Quisquater, Université de Louvain, Ecole Polytechnique de Louvain et MIT.dans « la Tribune »

Le coût médian d’un incident cyber, tel que le calcule le FMI, est de 400.000 de dollars. Le 3e quartile de ce coût est de 2,8 millions de dolalrs, mais attention : la distribution des coûts dus à des cyberattaques est très déformée avec en cas de rançongiciels, des pics jusqu’à 12 millions de dollars. Certaines attaques ont même généré des pertes jusqu’à des centaines de millions de dollars.

Le cours de bourse diminue aussi en cas de cyber-incidents : ce n’est pas encore très fort, admet le FMI avec un recul de 0,1 à 0,2% en moyenne et parfois 0,3 à 0,6% pour les sociétés à plus petite capitalisation. Après un cyber-incident, le montant des dépôts a tendance à diminuer de 5% tant retail que wholesale sur plusieurs mois. Là, un vrai problème de liquidité se pose.

Le FMI note une prise de conscience qui s’envole sur le sujet cyber et c’est tant mieux. Tout le monde veut s’assurer contre le risque cyber et les banques centrales tout comme les régulateurs financiers voient la matérialité du risque cyber. Il était temps.

Comment se matérialise les pertes financières dues à un cyber-incident ? D’abord par une perte de confiance qui peut mener à un cyber run, un terme inspiré d’un bank run. L’idée d’une banque passoire aux données va amener ses clients à retirer leur argent. Comment avoir confiance ? Un problème de liquidité se posera immédiatement et une contamination au système financier. On l’a vu en 2023 avec les banques américaines qui tombèrent en faillite à cause d’un bank run qui s’est propagé et la panique des autorités américaines.

Un incident cyber qui paralyse ou perturbe une infrastructure financière non substituable, par exemple une entreprise qui opère les paiements pour plusieurs banques ou une chambre de compensation peut aussi tout paralyser. Autre effet en cascade possible : les risques liés à l’utilisation par trop d’institutions financières d’un même logiciel, vulnérable ou lorsque ces institutions sont trop interconnectées de sorte que tout déséquilibre provenant de l’un quand il est affecté par une cyberattaque provoque les mêmes déséquilibres chez les autres qui lui sont interconnectés (via le marché interbancaire).

Ensuite, n’oublions pas les attaques qui peuvent affecter les infrastructures dont a besoin le secteur financier : sans électricité, car le réseau est attaqué, une banque ou une infrastructure financière tombe à l’arrêt aussi ! Le FMI va même plus loin et imagine des institutions publiques paralysées par une attaque : imagions, dit-elle, l’agence de la dette paralysée par une attaque cyber, ce qui ne permet plus à l’État de se financer sans compter le rating de l’État qui va être très vite dégradé pour incapacité à gérer sa dette.

Pour pimenter ce portrait, ajoutons l’informatique quantique qui pourra briser tous les chiffrements d’aujourd’hui ou l’IA qui peut autant améliorer la détection de la fraude ou l’identification de certains risques à partir du bruit ambiant sur les marchés ou dans les opérations d’une banque que l’inverse, générer de la voix clonée, des vidéos parfaites de personnes qui n’ont pas demandées à y figurer.

Ajoutons-y une dose de Fintech qui sont digitales jusqu’au bout des ongles et qui peuvent occuper sans qu’on s’en rende compte une place niche systémique dans les systèmes financiers (pensons aux paiements on line). Ironiquement, le FMI vise aussi les banques centrales et leur côté apprenti-sorcier pour celles qui développent les monnaies de banque centrales numériques à partir des blockchains (ce ne sera pas le cas de l’e-euro, ouf). Les maitrisent-elles quand on sait tous les problèmes de hacking et de fraude qui agrémentent ces technologies ?

 Le FMI note aussi que des entreprises qui ont subitement et massivement introduit le teleworking pendant la pandémie se sont retrouvés avec plus de cyber incident que ceux qui en proposaient déjà avant. La raison : elles avaient déjà plus de gouvernance en place pour mitiger les risques cyber que pour se permettre du teleworking. Elles étaient plus matures. Ces sociétés avaient dans leurs organes dirigeants plus de gens au fait du cyber. Après un incident, les entreprises sont subitement plus motivées à investir dans le cyber. Même si prévenir c’est mieux que guérir, c’est déjà bien de vouloir guérir.

Le secteur financier hélas présente trois effets démultiplicateurs aux attaques cyber :

  • La concentration des banques et des institutions financières qui forment des nœuds très interconnectés sur un ou plusieurs services financiers comme les paiements, les règlements d’opérations sur titres, les dépositaires centraux de titres, les contreparties… Ce sont des activités tellement spécialisées que les institutions qui ont acquis une position incontournable deviennent aussi incontournables.
  • La dépendance à quelques fournisseurs IT systémiques, toujours les mêmes dont la panne serait catastrophique même s’ils offrent aujourd’hui plus de résilience aux banques. Mais il ne faut jamais dire jamais.
  • La contagion d’un problème rencontré par une institution aux autres institutions pourtant saines, du fait de la grande interconnexion entre institutions financières.

Pour le FMI, un pays est bien équipé pour faire face au risque cyber s’il s’octroie le pouvoir d’inspecter les fournisseurs IT concentrés du secteur financier. Il faut aussi imposer des cyber-stress tests au secteur, mais c’est encore peu répandu. Un pays vertueux devrait dresser la cartographie es connexions qui existent entre ses institutions financières.

Il devrait y avoir aussi bcp plus d’échanges d’informations dans le secteur financier, épaulés par les autorités du pays. Et il faut rapporter les incidents, la seule manière pour un pays pour monitorer les crises cyber.

Là où le FMI a raison, c’est que les efforts cyber des banques et leur investissement manque la « big picture » ; Tout le monde se protège lui-même, mais ne prend pas assez en compte les effets de réseau des cyber attaques pour se protéger d’autrui. Il manque d’un chef d’orchestre qui prépare la partition cyber et ensuite la joue. La diversité des méthodes de connexion, de logiciel pourrait aussi réduire le risque d’une chute en domino.

Une guerre également cyber de la part de la Russie

Une guerre également cyber de la part de la Russie

 

Les deux économistes Stéphane Lhuissier et Fabien Tripier rendent compte, dans une tribune au « Monde », de l’évolution du risque cyber depuis le début de la crise en Ukraine à partir de l’analyse du trafic sur le réseau social Twitter.

 

Dès le début de la guerre, le 24 février 2022, en Ukraine, le cyber est apparu comme une nouvelle zone de conflit – en plus des terrains militaire, diplomatique et économique – avec la crainte d’un « cyber-Pearl Harbor » qui aurait pu plonger le monde dans une nouvelle forme de guerre numérique et exposer l’économie mondiale à un risque de crise économique d’origine cyber. Plus de trois mois après, où en sommes-nous du risque cyber ?

Le risque cyber se définit comme la combinaison de la probabilité de survenance des incidents cyber (incidents malveillants ou non, qui mettent en péril la cybersécurité d’un système d’information ou enfreignent les procédures et règles de sécurité) et de leur impact. Le risque cyber est par nature difficile à mesurer et quantifier compte tenu du caractère illégal des attaques cyber et de leurs formes multiples.

 

Ce risque peut, en effet, toucher n’importe quel particulier victime du vol de ses données personnelles, mais aussi une entreprise multinationale victime d’intrusion informatique, ou encore un hôpital, voire une plate-forme d’échange de bitcoins. L’analyse du trafic d’un réseau social comme Twitter peut alors être utile. Sur Twitter, tout le monde parle de tout, y compris donc des risques cyber.

Dans notre étude (« Measuring cyber risk » présentée dans un billet de blog de la Banque de France « Une mesure de l’évolution du risque cyber »), nous construisons un indicateur du risque cyber basé sur le nombre de tweets traitant de ce sujet dans l’ensemble du trafic twitter. Cet indicateur se révèle performant pour rendre compte de la « température » du risque cyber tel qu’il est perçu par les utilisateurs de ce réseau.

En effet, il indique des fortes hausses du trafic Twitter consacré à la cybersécurité pour tous les événements importants en termes de cybersécurité depuis 2010. L’analyse des tweets portant sur la cybersécurité depuis le début de la guerre en Ukraine nous apporte les informations suivantes.

 

Premièrement, l’intensification du risque cyber avec la guerre en Ukraine s’inscrit dans un contexte de recrudescence des attaques cyber. Notre indicateur de risque cyber était resté relativement faible après les attaques de mai 2017 (avec les rançongiciels WannaCry et NotPetya) jusqu’à la révélation en décembre 2020 d’une massive violation des données de l’administration fédérale américaine.

Ensuite, il a fortement augmenté en mai 2021 avec l’attaque du système d’oléoduc Colonial Pipeline, toujours aux Etats-Unis, puis à partir de février 2022 avec la guerre en Ukraine. Deuxièmement, le pic d’intensité du trafic Twitter sur la cybersécurité a eu lieu au début de la guerre (le 24 février 2022) pour ensuite décroître progressivement jusqu’à rejoindre à la fin du mois de mars 2022 les valeurs d’avant-guerre.

Tech-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Tech-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Société-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Société-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

0 Réponses à “Les risqus cyber catastrop

Risque de crise cyber majeure : Quel rôle de l’État

Risque de crise cyber majeure : Quel rôle de l’État ?

Par Jean-Jacques Quisquater, université de Louvain, Ecole Polytechnique de Louvain et MIT, et Charles Cuvelliez, université de Bruxelles, Ecole Polytechnique de Bruxelles. ( L’Opinion, extrait)

 

Tribune

 

Tout au long de la crise du Covid-19, c’est l’Etat qui a joué un rôle d’assurance et d’assureur sans le savoir au départ en prenant en charge les coûts générés par l’arrêt forcé de l’économie. Les puristes diront qu’une assurance couvre un dommage matérialisé sauf que l’Etat l’a couvert au fur et à mesure qu’il se matérialisait.

Dans son analyse annuelle 2021 des risques futurs, AXA n’est pas loin d’évoquer un scénario similaire où les assureurs seront tout aussi démunis face à l’ampleur d’une autre crise, une crise cyber qui paralysera toute l’économie via, par exemple, le système financier qui serait bloqué. On n’a aujourd’hui que peu de compréhension des conséquences si un maillon systémique du système financier était bloqué.

Qui doit couvrir les dommages?

Une crise cyber partira peut-être d’une institution donnée couverte par une assurance cyber, pourquoi pas, mais ses effets se propageront peut-être à toute une industrie, à toute une économie sans faire dans le détail. Qui doit couvrir les dommages dans ce cas. Tout comme le Covid-19, ce sera à l’Etat de jouer ce rôle.

On dirait que l’opinion s’y prépare puisque le risque cyber est listé comme risque n°1 aux Etats-Unis et n°2 en Europe. AXA a interrogé pour ce faire 2.500 experts en risque dans 60 pays. Il leur était demandé de choisir leur top des risques parmi un choix de 25.

Il n’est évidemment pas étonnant que les risques climatiques, les risques cyber et les risques santé occupent le top 3. Mais même si le Covid-19 a représenté la matérialisation, une année et demie durant, de l’un d’entre eux, c’est tout même le climat qui est donné comme le risque le plus urgent. Quant au risque de santé, c’est moins la pandémie que les maladies chroniques et l’exposition aux substances toxiques qui est vue comme le plus problématique pour le public qui a aussi été interrogé (20.000 personnes dans 15 pays).

Risques technologiques

Dans notre société toujours plus numérique et technologique, il n’est pas étonnant non plus que les risques technologiques soient mis en avant à coté des risques cyber. Les risques éthiques liés à l’usage des technologies qui autorisent toujours plus d’intrusion dans la vie (privée) ou qui provoquent des biais algorithmiques occupent le devant des préoccupations. Il y aussi les risques économiques et non plus éthiques liés à la technologie qui ont grimpé de 8 places dans le classement, en comparaison de 2020. Il s’agit de la prévalence toujours plus grande des cryptomonnaies dans l’attente d’un grand crash sans parler des conséquences sur la consommation d’énergie et l’empreinte carbone. Par contre, les technologies futuristes disruptives comme l’ordinateur quantique ou les systèmes autonomes ou même les manipulations génétiques n’ont pas l’air de préoccuper les experts.

Les risques liés à la stabilité financière sont montés de la position n°9 en 2020 à la position n°8 cette année. En 2018 et 2019, ce risque n’était même pas dans le top 10. Ce sont les politiques monétaires et fiscales non orthodoxes menées pendant le Covid-19 qui ont fait exploser les dépenses publiques qui expliquent cette peur. C’est le côté Terra Incognita dans lequel nous sommes plongés. Pour l’instant, tout va bien. Sur la forme que prendra la matérialisation d’un risque impactant la stabilité financière, on évoque autant l’existence d’une bulle financière que l’effondrement du système financier mondial.

C’est intéressant de voir comment la perception du risque diffère entre spécialistes et le grand public. Pour ce dernier, arrive en premier les pandémies et les maladies infectieuses.  Le changement climatique vient en deuxième position. Arrive ensuite le terrorisme (du fait de sa charge émotionnelle) et, en quatrième position, les cyberrisques. Le terrorisme n’arrive qu’en septième position pour les experts. Chaque continent a aussi son top risque préféré : l’Amérique voit le cyberrisque d’abord. Il faut dire que la vague d’attaque cyber que les Etats-Unis ont vu déferler n’y est pas pour rien (on n’a encore rien vu en Europe, ceci dit). En Europe, c’est le risque climatique qui inquiète le plus. Les pandémies et les maladies infectieuses dominent en Asie et en Afrique.

Perception de la vulnérabilité aux risques

Autre angle intéressant de cette édition 2021, la perception de la vulnérabilité aux risques. En 2021, les experts se sentent plus vulnérables aux risques de santé, environnementaux et technologiques. Ceci correspond parfaitement à l’actualité. Pour l’environnement, on a vu comme le confinement a tout à coup diminué tant d’atteintes à l’environnement, comme la pollution. Avec le tout au télétravail et au numérique pour compenser le confinement, on a aussi compris combien les risques technologiques se cachaient derrière ces usages. Enfin, la réalité du risque santé était bien là avec la pandémie.

Par contre, tant le public (75% des personnes interrogées) que les experts risques (87 %) continuent à faire confiance aux scientifiques et académiques pour gérer ou limiter les crises. Rassurant en ces temps d’infox mais pourvu que les scientifiques ne se trompent pas et ne s’érigent pas en autorité morale qu’ils n’ont pas à être avec des prises de position tapageuses. La jeune génération pense aussi qu’on viendra toujours à bout des crises, qu’aucune ne nous arrêtera. Ce sont aussi les jeunes qui sont le plus sensibles aux risques climatiques.

AXA pointe aussi un risque géopolitique qui émerge des risques climatiques avec la course au leadership pour la transition verte entre la Chine et l’Occident. On sait bien que les métaux stratégiques pour la transition énergétique se trouvent en Chine. On se rappellera que le leadership britannique au XIXe siècle venait de leur contrôle du charbon et que celui des USA vient de leur contrôle sur le pétrole quand même plus pratique.

Arrêt d’infrastructures critiques et ransomwares

Si on demande de détailler ce qu’il faut entendre par risque cyber, 47 % des réponses se dirigent vers un arrêt d’infrastructures critiques et 21% pour les ransomwares. Et c’est là qu’AXA explique que la prévalence des attaques cyber va les transformer en équivalent Covid-19. Le contexte cyber risque d’escalader, explique AXA. L’opinion publique des pays occidentaux appelle ses dirigeants à réagir de plus en plus fermement aux attaques, ce qui peut amener une politique de confrontation qui dépasse l’espace cyber.  A cela s’ajoute un poids réglementaire qui s’accroit : interdiction de payer les rançons, limitation des cryptomonnaies, … ce sont autant de marge de manœuvre réduite pour les entreprises pour faire face à une attaque cyber. Quant à la pandémie, elle a mis en évidence l’interdépendance entre risques santé et risque environnementaux. Les incendies créent des problèmes respiratoires, les virus s’échappent des zones tropicales, ….

Bien sûr, on peut se poser la question de la pertinence d’une telle analyse : le bais du déjà-vu opère. On croit qu’un risque qui s’est matérialisé dans le passé aura plus de chances de se reproduire mais il ne s’agit ici que d’identifier les risques majeurs émergents et pour tous ceux-là, les signes prémonitoires de leur matérialisation sont déjà présents et beaucoup ont leur cause de la main de l’homme.

Les risqus cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Les risqus  cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Menace de cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Politique-Menace de  cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Risque de cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Risque de  cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Vers une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Vers  une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

La cyber pourrait déclencher une guerre ?

La cyber qui pourrait déclencher une guerre      

De plus en plus d’experts s’inquiètent des conséquences d’une cyberguerre sur la vie économique et sociale mais aussi sur la possibilité qu’elle entraîne un véritable conflit armé.

Pour déstabiliser un pays, il suffira en effet de paralyser les systèmes informatisés des grandes fonctions économiques et sociales ( énergie, transports, santé, communication ou encore banques). Ce qui est en cause, c’est un modèle de société fragilisée par sa cyberdépendance. Il n’y a pratiquement plus d’activité qui ne soit pas sous tutelle des technologies de gestion de l’information. Et des pannes géantes volontairement causées ne sont pas à exclure car les mesures de protection ne sont pas à la hauteur des risques.

Plus généralement, les sociétés développées devraient s’interroger sur leur niveau de dépendance à la cyber économie. Certes les nouvelles technologies permettent des progrès considérables pour la gestion de l’information dans tous les domaines cependant des systèmes alternatifs devraient être envisagés systématiquement en cas d’accident majeur volontaire ou non. Notons que les cyberattaques viennent surtout de Chine ou de Russie, qu’elles sont souvent dirigées sur des objectifs civils sans doute pour tester une capacité de nuisance technologique voire pour affaiblir le potentiel de défense d’un pays.

Géopolitique–La cyber qui pourrait déclencher une guerre

Géopolitique–La cyber qui pourrait déclencher une guerre      

De plus en plus d’experts s’inquiètent des conséquences d’une cyberguerre sur la vie économique et sociale mais aussi sur la possibilité qu’elle entraîne un véritable conflit armé.

Pour déstabiliser un pays, il suffira en effet de paralyser les systèmes informatisés des grandes fonctions économiques et sociales ( énergie, transports, santé, communication ou encore banques). Ce qui est en cause, c’est un modèle de société fragilisée par sa cyberdépendance. Il n’y a pratiquement plus d’activité qui ne soit pas sous tutelle des technologies de gestion de l’information. Et des pannes géantes volontairement causées ne sont pas à exclure car les mesures de protection ne sont pas à la hauteur des risques.

Plus généralement, les sociétés développées devraient s’interroger sur leur niveau de dépendance à la cyber économie. Certes les nouvelles technologies permettent des progrès considérables pour la gestion de l’information dans tous les domaines cependant des systèmes alternatifs devraient être envisagés systématiquement en cas d’accident majeur volontaire ou non. Notons que les cyberattaques viennent surtout de Chine ou de Russie, qu’elles sont souvent dirigées sur des objectifs civils sans doute pour tester une capacité de nuisance technologique voire pour affaiblir le potentiel de défense d’un pays.

La cyber qui pourrait déclencher une guerre

La cyber qui pourrait déclencher une guerre      

De plus en plus d’experts s’inquiètent des conséquences d’une cyberguerre sur la vie économique et sociale mais aussi sur la possibilité qu’elle entraîne un véritable conflit armé.

Pour déstabiliser un pays, il suffira en effet de paralyser les systèmes informatisés des grandes fonctions économiques et sociales ( énergie, transports, santé, communication ou encore banques). Ce qui est en cause, c’est un modèle de société fragilisée par sa cyberdépendance. Il n’y a pratiquement plus d’activité qui ne soit pas sous tutelle des technologies de gestion de l’information. Et des pannes géantes volontairement causées ne sont pas à exclure car les mesures de protection ne sont pas à la hauteur des risques.

Plus généralement, les sociétés développées devraient s’interroger sur leur niveau de dépendance à la cyber économie. Certes les nouvelles technologies permettent des progrès considérables pour la gestion de l’information dans tous les domaines cependant des systèmes alternatifs devraient être envisagés systématiquement en cas d’accident majeur volontaire ou non. Notons que les cyberattaques viennent surtout de Chine ou de Russie, qu’elles sont souvent dirigées sur des objectifs civils sans doute pour tester une capacité de nuisance technologique voire pour affaiblir le potentiel de défense d’un pays.

Après la crise sanitaire, le prochain virus sera cyber». (Alain Bauer)

Après la crise sanitaire, le prochain virus sera cyber». (Alain Bauer)

Après la crise sanitaire prochain virus pourrait bien être cyber d’après Alain Bauer, spécialiste en gestion de crise et criminologue.( Chronique dans l’Opinion )

 

« Philip K. Dick, le grand auteur américain de science-fiction, est revenu à la mode. Le Maître du haut château, en version web-série, nous fait vivre un monde dystopique en nous proposant une réalité alternative, du dernier conflit mondial à nos jours. Les vainqueurs remplaçant les vaincus, ce qu’on pourrait appeler une « vérité alternative » selon Fox News.

Ce que nous vivons dans notre réalité ressemble de plus en plus à une nouvelle version de Blade runner, du même auteur, dessinant une sombre réalité confortant les effets de la théorie du chaos et d’un « effet papillon » démultiplié en myriade de conséquences sanitaires, sociales, économiques, industrielles.

Choisir la vie ou l’économie ? Refonder le monde ? Casser la croissance ? Ces questions vitales ne sont pas nouvelles. Souvent le conservatisme, qui n’est pas seulement une idéologie mais aussi une pulsion naturelle plus ou moins contrariée, résiste au changement des modèles.

La tradition gouvernementale du mensonge plus ou moins relatif, l’incapacité à répondre clairement à une question précise par peur de la panique ou d’avouer son ignorance, ce bouclier de la parole qui enfume plutôt qu’elle n’éclaire, ont réduit la capacité de conviction des appareils d’État. Le confondant spectacle des messages sur le port du masque ou l’utilité des tests restera gravé dans les mémoires physiques et informatiques de la population.

 

En même temps, l’outil internet a produit des milliers de citoyens enquêteurs allant du meilleur (Bellingcat) au pire (les innombrables trolls déchaînés, solitaires ou mercenaires qui inondent l’espace virtuel). C’est aussi dans ce monde-là que le prochain virus se prépare, s’élabore, se teste.

Outre les innombrables attaques informatiques contre des particuliers, des entreprises ou des institutions, pour vendre de faux produits, de faux médicaments, de faux masques, qui relèvent de l’escroquerie traditionnelle et nécessitent une participation active de la victime trop confiante ou trop insouciante, on assiste à une diffusion exponentielle – virale donc – des rançongiciels et prise de contrôle des équipements informatiques et des stocks de données.

Après des tests menés depuis la fin d’année dernière par des hackers déterminés et coordonnés, des opérations massives ont commencé début 2020 contre de nombreuses cibles privées ou publiques (notamment Bouygues Construction ou les services de Marseille Métropole). Récemment, des attaques ciblées ont touché des institutions médicales, des hôpitaux en première ligne contre le Covid-19. Erreur de débutant, nouveau test de solidité des défenses de sécurité, opération de « profiteurs de guerre » utilisant des technologies modernes ?

«Nous sortirons de la crise sanitaire. Nous allons entrer dans la crise cyber, ce monde dont notre niveau de dépendance croit exponentiellement et qui ne s’y est guère préparé»

En tout état de cause, Interpol, Europol et la Global initiative against transnational organized crime ont sonné l’alarme sur ce qui est en train de se produire. Mais qui n’est rien au regard de ce qui se prépare.

Outre les effets criminels, la révolution qui s’amorce sur la gouvernance d’internet, l’apparition d’un nouveau monde mieux contrôlé par les Etats (New IP), défendu notamment par Huaweï et qui ne l’est pas seulement par la Chine et ses alliés naturels.

La guerre d’internet continue pendant la crise épidémique. Non seulement sur la 5G, sur le traçage des individus, sur la neutralité du net, sur le contrôle des données, mais aussi sur la gouvernance de l’outil. Certains fonctionnent déjà en mode dégradé et pourraient se passer du réseau mondial. D’autres n’ont pas encore pris la mesure de leur dépendance. La prochaine épreuve de souveraineté dépassera en ampleur celle des masques, des respirateurs ou des réactifs.

Nous sortirons de la crise sanitaire, à un prix humain hélas élevé mais en ayant sauvé l’essentiel et préservé la vie de nombreux citoyens, plus ou moins jeunes.

Nous allons entrer dans la crise cyber, ce monde dont notre niveau de dépendance croit exponentiellement et qui ne s’y est guère préparé. En tout cas pas plus que pour la crise sanitaire et pandémique. On en voit les effets.

Il est plus que temps d’éviter la prochaine. Contre tous les virus. »

Alain Bauer, spécialiste des gestions de crise, est professeur de criminologie au Conservatoire national des arts et métiers (équipe en émergence sécurité défense), à New York et à Shanghai.




L'actu écologique |
bessay |
Mr. Sandro's Blog |
Unblog.fr | Annuaire | Signaler un abus | astucesquotidiennes
| MIEUX-ETRE
| louis crusol