Archive pour le Tag 'Guillaume'

Tech-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Tech-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Société-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Société-Les risques d’une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

0 Réponses à “Les risqus cyber catastrop

Les risqus cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Les risqus  cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Menace de cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Politique-Menace de  cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Risque de cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Risque de  cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

 

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Vers une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Vers  une cyber catastrophe systémique ? (Guillaume Poupard, ANSSI)

Pierre angulaire de la révolution numérique, la cybersécurité est aussi l’une des clés de la souveraineté technologique européenne. Guillaume Poupard, (ANSSI, l’Agence nationale de la sécurité des systèmes d’information ),  appelle la France à ne pas oublier les acteurs européens du cloud au profit des Gafam américains . (dans la Tribune, extrait)

La crise du Covid-19 a mis en évidence la fragilité des systèmes informatiques. L’Anssi a alerté fin 2020 que le nombre de victimes des cyberattaques a quadruplé en un an en France. Comment la situation évolue-t-elle en 2021 ?

GUILLAUME POUPARD - Cela ne fait que s’aggraver car la cybercriminalité se professionnalise depuis quelques années, avec pour principal objectif l’appât du gain par des réseaux organisés qui agissent comme de véritables entreprises. De fait, les attaques sont de plus en plus nombreuses et bien ficelées. Les cybercriminels ont mis en place un modèle économique du « ransomware as a service » (RaaS) qui est redoutablement efficace. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Les logiciels de rançon sont commercialisés clé en main sur le darkweb. Il y a des personnes qui développent les attaques, d’autres qui les vendent et d’autres qui les exécutent.

La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’Anssi évalue la progression à +60% ! C’est donc une véritable catastrophe économique. Si on est de nature optimiste, on peut remarquer que la progression ralentit car c’était pire l’an dernier à la même époque, mais objectivement la situation est mauvaise. D’autant plus que les autres menaces, celles qui ne sont pas visibles, continuent de se développer.

Quelles sont-elles ?

L’espionnage. En parallèle de la cybercriminalité « classique » qui touche les entreprises, les collectivités et le grand public, se développe une cybercriminalité « stratégique », menée par des grands Etats avec des groupes affiliés. Cette cyberguerre existe depuis longtemps mais elle se renforce. Ces hackers mènent des campagnes de plus en plus complexes et massives, ils ont des moyens quasi-illimités et agissent dans le cadre d’un affrontement géopolitique entre les grandes puissances de ce monde. C’est la nouvelle guerre froide, mais dans le cyberespace. L’Anssi trouve des traces de ces réseaux partout.

Peut-on enrayer cette augmentation rapide et spectaculaire des cyberattaques ?

Il faut distinguer la cybercriminalité « classique » de la cybercriminalité étatique, car nous avons beaucoup plus de marge de manœuvre pour faire reculer la première. Les cyberattaques contre les entreprises et les collectivités prospèrent car personne n’est vraiment prêt. Mais ce n’est pas une fatalité, on peut agir. Si chacun fait un véritable effort, si chaque patron de PME, de TPE ou d’hôpital comprend qu’il a une responsabilité et qu’il doit allouer à sa cybersécurité un budget non-négligeable et incompressible, alors on peut casser cette dynamique et se protéger collectivement.

Il ne faut pas tout attendre de l’Etat : la cybersécurité est une responsabilité individuelle. Les particuliers doivent adopter de bons réflexes sur leurs mots de passe ou la mise à jour de leurs logiciels pour éviter de se faire piéger. Les entreprises et les collectivités doivent intégrer la dimension cyber dans tous leurs projets et porter le sujet au niveau de la direction générale. La cybersécurité est une composante de la transformation numérique de l’économie et de la société. Je crois qu’on vit une vraie prise de conscience et que dans cinq ans la cybercriminalité classique aura baissé.

Mieux se protéger collectivement permettra-t-il aussi de faire reculer la cybercriminalité étatique ?

Oui et non. Oui car il y a forcément un effet ricochet : les entreprises et organisations les mieux protégées sont moins attaquées. Une entreprise dans la supply chain par exemple, peut devenir la cible d’une cyberattaque d’origine étatique si l’objectif est d’affaiblir son client final. C’est ce qui est arrivé aux Etats-Unis avec l’attaque SolarWinds, qui a traumatisé les autorités car c’était une attaque massive contre le gouvernement fédéral et les réseaux énergétiques américains via un logiciel tiers, Orion, fourni par l’entreprise SolarWinds. Il faut donc mieux protéger à la fois les grands groupes et leurs écosystèmes.

Ceci dit, il est beaucoup plus difficile de stopper la cybercriminalité étatique car le niveau des assaillants est encore plus élevé. Pour lutter contre eux, il faut utiliser tous les moyens de renseignement et de coopération internationale. L’enjeu est de détecter au plus tôt les agressions pour les éviter ou atténuer leur gravité, mais aussi être capable de faire de l’attribution de menace pour avoir une politique de sanctions et une diplomatie plus efficaces. Aujourd’hui il est très complexe de relier de manière incontestable un réseau cybercriminel à un Etat, ce qui permet aux Etats de nier. Les militaires parlent du cyberespace comme d’un nouvel espace de conflictualité. Les Etats y préparent les conflits du futur, des agents dormants sont placés dans des secteurs stratégiques comme les transports, l’énergie, les télécoms, pour agir le jour où ils en ont besoin.

Vous êtes optimiste sur la capacité de la France à inverser la courbe des cyberattaques, mais aujourd’hui les PME, les TPE et les collectivités restent globalement mal protégées. Même les grands groupes souffrent d’énormes failles de sécurité qui sont régulièrement exploitées par les cybercriminels…

C’est vrai, mais aujourd’hui plus aucune entreprise du CAC40 ne sous-estime la menace cyber et le sujet est passé au stade de la direction générale, ce qui signifie que les budgets suivent. De plus, il y a une prise de conscience globale, à commencer par l’Etat qui a lancé sa stratégie cybersécurité en début d’année et qui consacre 1,3 milliard d’euros pour rassembler l’écosystème français de la cyber et accélérer la protection de tout le monde.

La réalité est que les plus mal protégés -TPE, collectivités, hôpitaux…- ne pensaient pas être des cibles. Ils ne sont pas idiots ni négligents, mais ils se disaient : « pourquoi serais-je attaqué alors qu’il y a tellement plus d’argent à récolter ailleurs ? » Sauf que l’expérience montre que tout le monde est attaqué, même les petits. Les petits paient même plus facilement la rançon, car l’arrêt forcé de leur activité à cause d’un ransomware peut les conduire à mettre très vite la clé sous la porte. Du coup tout le monde est en train de se protéger, mais cela prendra encore quelques années pour se mettre à niveau. C’est une course contre la montre mais je suis confiant sur le fait qu’on y arrivera.

De nombreux hôpitaux ont été attaqués depuis la crise sanitaire, dont plusieurs centres hospitaliers en France, notamment à Rouen, Dax et Villefranche-sur-Saône. Ces attaques ont révélé l’ampleur de leur impréparation. Mais ont-ils les moyens financiers, techniques et humains de bien se protéger ?

Les hackers avaient coutume de vanter une sorte de code de bonne conduite qui épargnait les hôpitaux, mais ce code a volé en éclat avec la crise sanitaire. Je doute même qu’il ait vraiment existé. A mon avis les hôpitaux étaient moins pris pour cible avant le Covid parce que les hackers voulaient éviter de se retrouver dans le radar des autorités, et attaquer un lieu sacré c’est le meilleur moyen d’attirer l’attention. Mais la réalité est que les cybercriminels n’ont aucune éthique. Le Covid-19 l’a prouvé de manière très cynique : attaquer un hôpital en pleine crise sanitaire c’est multiplier les chances qu’ils paient la rançon.

Pour revenir à votre question, la cybersécurité coûte cher, oui. Et encore plus pour un hôpital qui a déjà un budget très serré et des missions importantes de service public à mener. L’objectif pour les centres hospitaliers est qu’ils sanctuarisent entre 5% et 10% de leur budget informatique pour la cybersécurité. Ce n’est clairement pas le cas aujourd’hui mais c’est indispensable. Je ne leur jette pas la pierre car je me mets à la place d’un directeur d’hôpital qui doit choisir entre acheter des lits et des scanners ou protéger ses systèmes d’information des menaces cyber. Honnêtement, je comprends qu’il choisisse d’acheter des lits et des scanners. Surtout quand il n’a pas déjà été confronté à une crise cyber, car la menace lui paraît lointaine. Mais désormais il faut changer cette manière de penser et considérer que protéger ses systèmes informatiques relève de l’importance vitale.

Les aidez-vous à se mettre à niveau ?

Oui. L’Etat a octroyé une enveloppe de 136 millions d’euros à l’Anssi dans le cadre de sa stratégie de cybersécurité. Dans cette enveloppe, 25 millions d’euros sont consacrés aux établissements de santé. Chaque hôpital peut bénéficier d’un audit de cybersécurité et d’un plan d’action à hauteur de 140.000 euros. L’idée est de leur mettre le pied à l’étrier : on arrive, on fait l’analyse des risques, on établit avec eux une stratégie cyber, on les met en relation avec des prestataires de confiance certifiés par l’Anssi, et la machine est lancée. Les établissements de santé peuvent aussi bénéficier d’autres aides. Dans le Ségur de la santé, l’Etat déploie une enveloppe de 350 millions d’euros pour la sécurité numérique.

Quand l’Anssi intervient-il auprès des entreprises et des collectivités ?

Nous intervenons avant tout auprès des acteurs régulés, c’est-à-dire les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). D’un côté ils ont l’obligation de présenter un niveau de sécurité élevé, et en contrepartie ils bénéficient d’un accès prioritaire à la capacité de réponse de l’Anssi en cas d’incident cyber. Des cibles que je qualifie de « politiques » bénéficient aussi de notre aide, soit en réaction à une attaque soit en anticipation. Par exemple, nous sommes intervenus en amont sur l’application TousAntiCovid, car l’impact politique et médiatique d’une attaque serait dramatique.

Quelquefois, l’Anssi peut être amené à intervenir auprès d’acteurs non-régulés comme certains établissements hospitaliers, par exemple l’an dernier à Rouen, Dax et Villefranche-sur-Saône. Dans ces cas on les a aidés en réaction à la cyberattaque et on a fait de la reconstruction, ce qui est rare car ce n’est pas dans notre ADN, mais pour les hôpitaux on peut le faire.

Parfois, l’Anssi choisit aussi d’intervenir à des endroits atypiques mais intéressants pour comprendre l’évolution de la menace, comme certaines PME ou TPE. Par exemple, nous avons passé plusieurs mois dans un Ehpad, à la grande stupéfaction de la direction qui n’a pas vraiment compris les raisons de notre présence ! Il s’avère qu’un attaquant de nature étatique qui nous intéressait particulièrement s’était installé sur les serveurs de cet Ehpad. Il ne souhaitait pas attaquer l’Ehpad mais il se servait de ce rebond pour cibler des acteurs stratégiques français. Il se pensait à l’abri sur les serveurs de cet Ehpad mais on l’a observé pendant plusieurs mois et cela nous a aidés à reprendre l’avantage sur lui.

L’Etat prévoit d’injecter 1,3 milliard d’euros pour développer l’écosystème cyber en France. Ce plan est-il à la hauteur des enjeux ?

Le fait que le sujet de la cybersécurité soit porté par le président de la République est incontestablement une grande avancée. L’argent mis sur la table et la philosophie d’action qui consiste à renforcer tout l’écosystème de la cyber, de la R&D aux startups en passant par les grands groupes, me paraissent aller dans le bon sens. Le gouvernement a intégré la question de la sécurité dans le domaine du numérique et c’est courageux car ce sont deux communautés qui ont longtemps eu du mal à se rencontrer.

Après, il est compliqué de se prononcer sur les montants car la cybersécurité est un effort permanent qui doit faire partie des coûts fixes d’une entreprise ou d’une collectivité. Ce coût est très variable, il dépend de la taille de la structure, de son secteur d’activités et d’où on part, c’est-à-dire s’il faut carrément refaire tous les systèmes d’information ou s’il faut juste moderniser les équipements et s’équiper en logiciels. Mais il faudra quand même mobiliser ces 5% à 10% du budget informatique. Cette dépense devient incompressible car la menace s’est concrétisée.

L’un des piliers de la stratégie cyber de l’Etat est la notion d’écosystème, matérialisée par la création d’un immense Campus Cyber à La Défense, dans lequel sont amenés à collaborer centres de recherche privés et publics, Etat, startups, PME et grands groupes. Mais n’est-il pas idyllique de penser que des entreprises concurrentes vont collaborer entre elles pour le bien de l’écosystème?

L’idée derrière le Campus Cyber et ses futures déclinaisons en Région c’est d’aller explorer des manières de travailler qui n’ont pas encore été tentées. Cette méthode de l’écosystème fonctionne dans le numérique, il faut l’appliquer à la cybersécurité et je constate que tous les acteurs ont envie de travailler ensemble et ont les moyens de le faire.

Donc idyllique, ça l’est forcément un peu, mais je préfère parler de pari. Pour être honnête c’était la crainte initiale et c’est pour cela que je parle d’utopie quand je m’exprime sur le Campus Cyber. A priori, c’est contre-nature pour des entreprises concurrentes de travailler les unes avec les autres. Mais cela va fonctionner car grâce à cette collaboration ils vont obtenir un avantage concurrentiel pour attaquer le marché européen voire international. Dans d’autres domaines industriels, les Français ont choisi de se regarder en chien de faïence et cela ne leur a pas porté chance. Cette erreur peut être évitée dans la cybersécurité grâce au Campus Cyber.

La différence c’est aussi que les acteurs de la cybersécurité ont l’embarras du choix, ils ne peuvent pas répondre à tous les appels d’offres car le secteur souffre d’une grosse pénurie de talents. La guerre des talents est assumée mais le Campus Cyber peut justement créer une émulation et une régulation de ce phénomène avec un code de bonne conduite où les mercenaires qui changent d’emploi tous les ans pour prendre une augmentation de 20% de salaire sont neutralisés.

La crise des talents est le principal problème du secteur de la cybersécurité, et du numérique en général. A quel point est-il difficile de recruter pour l’Anssi ?

Le recrutement est une préoccupation constante, majeure, et on y met beaucoup d’énergie. L’équation n’est pas favorable : il y a beaucoup plus d’emplois à pourvoir que de personnes pour les occuper. Mais je ne me plains pas car ce n’est pas très difficile pour l’Anssi d’attirer les talents, y compris les très bons. L’Anssi reste une marque forte, notamment pour des jeunes qui sortent d’école, qui ont soif d’apprendre et qui veulent être utiles. Travailler à l’Anssi c’est se mettre au service de la nation, côtoyer des équipes de top niveau, et réaliser des missions intéressantes et diversifiées. On voit chez nous des choses qu’on ne trouve pas ailleurs.

Après, il ne faut pas se cacher que l’Anssi est très formateur donc c’est aussi une super ligne à avoir sur le CV quand on veut passer dans le privé. Certains le regrettent. Moi je dis : oui, et alors ? La mobilité dans une carrière, c’est normal. A chaque fois qu’un talent part de l’Anssi, je prends le parti de m’en réjouir car cela veut dire que j’aurais un allié naturel dans le privé, qui est bon et qui contribue à construire l’écosystème. Ils peuvent partir du jour au lendemain par contre, quand ils estiment au bout de quelques années qu’ils doivent passer à autre chose. Donc il faut les intéresser pour les garder, mais je peux vous assurer qu’on ne s’ennuie pas à l’Anssi.

L’enjeu pour les entreprises c’est de se mettre au niveau rapidement. Quelle est l’approche la plus efficace ?

La question qui m’agace prodigieusement à la fin d’un Comex c’est quand on me demande « si vous n’aviez qu’un seul conseil ce serait quoi ? » Hé bien mon conseil, ce serait de vous y mettre sérieusement ! Aujourd’hui le sujet cyber monte dans les directions générales dans le privé, car certains ont pris la foudre et d’autres ont vu la foudre tomber pas très loin, donc ils ont compris. Mais dans le public et dans les petites entreprises on n’y est pas encore, d’où un énorme enjeu de sensibilisation. Des plans sectoriels peuvent être de bonnes idées pour mobiliser toute une filière, mais globalement il faut faire partout la même chose : prendre en compte la cybersécurité dès la conception des systèmes informatiques, améliorer la détection des menaces, l’anticipation des crises, avoir des plans de réaction et des plans de reprise d’activité en cas d’attaque… C’est ce que l’on impose aux opérateurs régulés et que l’on retrouve dans les textes européens.

En parlant d’Europe, on parle souvent de la nécessité de construire une « Europe de la cyber ». Mais concrètement, c’est quoi une « Europe de la cyber » ?

C’est une très bonne question et c’est tout l’enjeu de la présidence française de l’UE au premier semestre 2022 de le définir. L’Europe de la cyber c’est d’abord une Europe réglementaire, ce que sait très bien faire l’Europe par ailleurs. N’y voyez pas une pique contre l’Europe : sans le Règlement sur la protection des données (RGPD), les entreprises n’auraient jamais fait monter ce sujet assez haut dans la hiérarchie pour passer l’étape des budgets. Dans le domaine de la cybersécurité, c’est pareil. Depuis 2016, la directive Network and Information System Security (NIS) a fait ses preuves. Son but est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information européens. En gros, la directive NIS étend à l’échelle européenne cette notion d’opérateur critique qu’on avait en France et en Allemagne. D’ailleurs, elle fonctionne tellement bien qu’on est en train de la réviser, et encore une fois, ce n’est pas ironique !

Que manque-t-il à la directive NIS dans sa version actuelle ?

Rien, justement, elle fonctionne très bien et c’est pour cela qu’il faut étendre son périmètre, passer à l’échelle pour réglementer davantage de secteurs afin de généraliser la montée en compétence cyber. La directive NIS se concentre sur la sécurité des cibles finales des cyberattaques mais il faut aussi protéger les cibles intermédiaires et les prestataires de services numériques (ESN), qui ne sont actuellement pas régulés et c’est bien dommage, à la fois pour eux-mêmes et pour leurs clients. Il faut aussi étendre NIS dans le domaine des hôpitaux : en France une centaine d’établissements hospitaliers sont concernés par NIS, dont 13 CHU, mais il faut aller plus loin car il y a 4.000 établissements hospitaliers dans le pays. On ne peut pas tout faire d’un coup car le secteur privé n’arriverait pas à suivre la demande, mais il faut étendre les obligations petit à petit car c’est en relevant le niveau de sécurité de tout le monde qu’on fera reculer la cybercriminalité.

Quels autres sujets la France devrait-elle pousser pendant sa présidence du Conseil de l’UE, au premier semestre 2022 ?

Il faut mettre en place une vraie coopération opérationnelle à l’échelle européenne. Mettre en réseau notre capacité de réponse à une cyberattaque, à un niveau technologique, stratégique et politique. Il faut une vraie solidarité européenne dans la cybersécurité car aujourd’hui, si un Etat membre demande de l’aide, on ne sait pas l’aider.

Comment ça ?

Concrètement, si un Etat membre demande de l’aide pour gérer une cyberattaque, les CERT de chaque pays [Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, Ndlr] vont échanger des informations mais ils ne sauront pas mettre en place une aide opérationnelle. Lors des incendies de l’été en Grèce, l’UE a été capable de mobiliser très vite des pompiers européens pour venir en renfort sur place. Mais dans le cas d’une crise cyber, on ne sait pas faire.

Il faut donc anticiper les crises, créer des règles et des mécanismes de solidarité qui n’existent pas encore. A l’heure actuelle si l’Anssi envoyait des renforts français pour gérer une crise cyber en Grèce par exemple, elle le ferait au détriment d’une urgence nationale. La France pousse donc l’idée de ne pas seulement faire appel à des forces publiques comme les Anssi de chaque pays, mais de mobiliser aussi le secteur privé. Des entreprises certifiées pourraient aller faire des audits, répondre à des incidents, faire de la reconstruction. Mais il faut créer le cadre réglementaire pour le rendre possible.

La cybersécurité fait partie des outils pour gagner une souveraineté technologique européenne. Construire un cloud européen indépendant des Gafam est-il indispensable ?

La souveraineté technologique est un sujet très complexe qui demande beaucoup de courage politique. Le cloud est l’un des piliers de la sécurité numérique européenne car il renferme toutes nos données et fait fonctionner nos infrastructures. La question est donc : est-on capables d’avoir à l’échelle européenne un cloud certifié complètement imperméable au droit extraterritorial étranger, notamment américain et chinois ? Si on n’est pas capables de dire clairement qu’on ne veut pas que des pays non-européens puissent accéder à nos systèmes cloud, alors je ne veux plus entendre parler de souveraineté européenne.

La France a lancé une stratégie « cloud de confiance » qui propose un entre-deux en autorisant des technologies étrangères mais uniquement sous licence et commercialisées par des entreprises européennes. Le secteur du cloud français est vent debout contre cette initiative. Est-on vraiment souverain quand on utilise sous licence des technologies de Microsoft ?

Je peux comprendre le scepticisme. Cette stratégie ne peut pas être le fossoyeur des acteurs français ou européens du cloud, car les OVH, Scaleway, Outscale et autres sont très bons. Il faut continuer à mettre la lumière sur eux avant tout.

Mais on ne peut pas non plus interdire la technologie américaine. Il y a un principe de réalité à avoir. Le fait de repositionner les acteurs américains dans leur rôle de fournisseur de technologies me paraît un compromis acceptable. Microsoft semble embrasser ce rôle, Amazon et Google c’est plus compliqué car ce n’est pas dans leur ADN. Mais il est essentiel d’imposer nos règles de manière pragmatique. Rendre ces technologies immunes au Cloud Act et à la loi FISA c’est une manière d’être souverain. Les technologies de Microsoft seront dans la coentreprise française Bleu, issue de Orange et de Capgemini, et Bleu ne mettra jamais un orteil aux Etats-Unis donc sera imperméable au droit extraterritorial américain.

L’élection présidentielle de 2022 arrive. Cela vous inquiète-t-il ?

Non. On sera attaqués, il y aura certainement des tentatives de manipulation. Il faut donc faire beaucoup de sensibilisation auprès des partis politiques et des équipes de campagne et s’assurer que les systèmes d’information soient au bon niveau. Et quand on sera attaqués il faudra bien réagir mais je suis relativement plus serein qu’il y a cinq ans.

On dit souvent que la prochaine grande crise mondiale sera une crise cyber. Partagez-vous cette crainte ?

Je pense que les menaces s’additionnent : le terrorisme, le Covid, la cyber… Du coup on réfléchit beaucoup au sein de l’Etat à la notion de multi-crise. Notre organisation est conçue pour gérer une crise à la fois, pas plusieurs. Il faut donc s’adapter à cette nouvelle donne. Une crise cyber majeure cela peut être par exemple un effondrement sectoriel lié à une vague de cyberattaques sur des infrastructures énergétiques. Cela peut être Microsoft ou Amazon qui s’éteint et cela déclenche une crise mondiale car les conséquences en cascade seraient monstrueuses. Quand on parle de « Pearl Harbor cyber » c’est en réalité très en-deçà de la réalité de la menace car Pearl Harbor était une tragédie localisée alors qu’une grande crise cyber serait systémique.

Pour une augmentation de 20% des salaires ¸(Guillaume Peltier)

Pour une augmentation de 20% des salaires ¸(Guillaume Peltier)

 

 

Une proposition qui va sans doute surprendre à gauche mais aussi à droite. Sans doute une proposition qui s’inspire des mesures de relance sociale des États-Unis. Peut-être aussi une proposition qui tient compte des perspectives de renaissance d’un inflation incontournable compte tenu notamment de l’envolée de toute les matières premières et du prix de certains composants nécessaires à l’industrie.

 

La question que soulève surtout cette proposition est celle de son financement qui serait à assurer indirectement par une taxation des transactions financières pouvant apporter jusqu’à 500 milliards voir au-delà. Des ressources qui viendraient compenser l’allégement de certaines cotisations sociales.

 

Cette mesure ne coûterait donc rien, selon Guillaume Peltier, «pas un centime de plus». «Les 490 milliards d’euros de la protection sociale seront intégralement financés par un micro-prélèvement de 2 % sur les transactions financières et les paiements électroniques, qui rapporterait 540 milliards d’euros par an à l’État», affirme-t-il, évoquant «une révolution pour les milieux de cordée et les travailleurs de première ligne, dont les salaires sont trop bas».

 

En même temps, M. Peltier prône une «règle d’or budgétaire » de «zéro déficit à l’horizon 2030». «Nous réduirons de 100 milliards d’euros les dépenses publiques », notamment avec la mise en place d’une carte Vitale biométrique «pour lutter contre les fraudes sociales». Il envisage aussi d’économiser 15 milliards sur «les retraites et les abus des arrêts maladie» et «10 milliards sur l’immigration».

 

Concernant les retraites, M. Peltier veut que «chacun cotise quarante-quatre ans sans âge légal couperet», avec une décote pour les métiers pénibles. Sur l’immigration, il propose d’organiser un référendum portant sur cinq questions, «dont la suspension de l’immigration – à l’exception des réfugiés politiques et des étudiants – et le conditionnement de l’accès aux aides sociales à cinq années de travail et de résidence en France».

 

A «l’inverse d’Emmanuel Macron», M. Peltier estime qu’il faut à la France «un président courageux, venu des provinces». Lui-même promet d’être «au service de notre futur candidat». En clair un appel net pour Xavier Bertrand.

 

Des propositions dans le chiffrage demeurent cependant encore flous surtout concernant la fiscalité sur les transactions financières et les paiements électroniques qui pourront difficilement se passer d’un accord international d’ailleurs en cours. L’idée cependant d’une relance du pouvoir d’achat paraît intéressante pour relancer une économie balbutiante sous réserve évidemment de ne pas mettre en cause la compétitivité déjà très faible du pays

« Des milliards aussi pour Airbus » (Guillaume Faury)

« Des milliards aussi pour Airbus » (Guillaume Faury)

 

Après Air France, après Renault, la liste des entreprises en difficulté risque de s’allonger. Cette fois, on parle d’Airbus qui évidemment va être fortement impactée par la crise du transport aérien. Là aussi des milliards seront nécessaires et des plans d’ajustement d’effectifs sont à craindre. Sans doute pas loin de 10 milliards seront nécessaires.

 

L’ensemble des grands groupes en France représente à peu près 20 % du PIB et 20 % des effectifs. Avec la crise , la perte de sites d’affaires pourrait atteindre 500 milliards. De quoi faire basculer dans le rouge une grande partie de ces groupes qui auront besoin d’aide de trésorerie soit sous forme de prêts, soit sous forme de subventions. Plusieurs centaines de milliards seront nécessaires pour les aider à survivre. On objectera que des facilités de prêts sont prévues avec notamment les prêts autorisés par la Banque centrale européenne. Le seul problème c’est que ces prêts considérables doivent t être remboursés en une ou deux années. Les entreprises seront structurellement atteintes dans leur rentabilité financière et pour les périodes pouvant atteindre une dizaine d’années voir l’avantage.

 

Pour Airbus « La survie est en jeu ». « Il s’agit d’une crise mondiale d’une magnitude jamais connue par notre génération. Malheureusement, l’industrie aéronautique se relèvera beaucoup plus faible et plus vulnérable qu’avant le début de la crise », a-t-il écrit aux salariés du groupe dans un courrier dévoilé par l’agence Reuters que La Tribune s’est également procuré.

 

Représentant le gros de son activité, sa branche de construction d’avions commerciaux est gravement menacée par la crise sans précédent qui frappe le transport aérien, aujourd’hui quasiment à l’arrêt à cause du Covid-19. À genoux, ne sachant pas si elles seront encore vivantes demain, les compagnies aériennes surveillent leur cash comme le lait sur le feu. L’heure est davantage aux reports de livraisons d’avions et aux annulations de commandes qu’à la réception des avions ou aux prises de commandes. Même quand le trafic reprendra, les compagnies devront se remettre de ce choc sans précédent et prendront du temps avant d’investir comme elles le faisaient…

 

Réouverture de tous les marchés (Didier Guillaume)

Réouverture de tous les marchés  (Didier Guillaume)

 

Le secteur de l’horticulture, du maraîchage connaît une véritable catastrophe avec l’impossibilité d’écouler ses produits. Des produits qui ont sollicité de la manœuvre, des matières premières et même de la fiscalité mais qui pour une part doivent être détruits faute de possibilité d’écoulement. Ainsi sur les marchés où  les magasins spécialisés on ne trouve qu’une très petite partie de la production classique. De ce fait à juste titre,  le ministre de l’agriculture réclame l’ouverture de tous les marchés. Il est vrai qu’au début l’organisation des marchés était particulièrement anarchique. Depuis les conditions d’accès aux marchandises s’effectue dans les mêmes conditions et même mieux que dans les grandes surfaces avec des règles strictes aussi bien de pénétration sur les marchés que d’accès aux étals, sans parler des règles de circulation très rigoureuse.

“Je suis favorable à l’ouverture de tous les marchés en plein air et de toutes les halles alimentaires”, a-t-il déclaré sur France 3. “J’appelle les maires de France et les préfets à inciter à rouvrir ces marchés”, à “condition qu’il y ait le respect des normes sanitaires”.

“Le marché, c’est le lieu où les personnes âgées notamment vont acheter leurs poireaux, deux pommes de terre, une salade (…) et puis surtout le marché c’est l’endroit où l’agriculture française passe 30 % de sa production de frais, de fruits et légumes”, a-t-il fait valoir.

Epargnés dans un premier temps par les mesures prises dans le cadre de l’état d’urgence sanitaire, les 10.000 marchés alimentaires de France avaient été contraints de fermer le 24 mars après la diffusion d’images sur les réseaux sociaux de personnes ne respectant pas la “distanciation sociale” sur certains marchés. Cette décision avait suscité l’indignation notamment de la Fédération des marchés de France qui avait dénoncé une “inégalité de traitement” entre la grande distribution et les marchés de rue.

Depuis, des dérogations ont été accordées au cas par cas par certaines préfectures sur la base d’un guide de bonnes pratiques sanitaires mis au point après d’intenses discussions entre le gouvernement, la fédération des marchés de France et la FNSEA notamment.

Coronavirus: Didier Guillaume pour le maintien des marchés en plein air

Coronavirus: Didier Guillaume pour le  maintien des marchés en plein air

 

Le  ministre de l’agriculture et de l’alimentation une fois de plus se comporte en lobby du secteur agricole en considérant qu’il faut maintenir les marchés. Or s’il y a bien lieu les règles de précaution ne sont pas respectées c’est bien sur les marchés ou l’anarchie la plus totale règne le plus souvent. Autant dans les commerces sédentaires, on peut fixer des règles, prévoir des dispositions notamment de signalétique pour réguler les conditions d’entrée, des circulations dans les magasins autant c’est impossible dans les marchés où tout le monde se bouscule devant les étalages.

Certes les marchés constituent un circuit de distribution utile et même nécessaire en particulier pour réduire les circuits et promouvoir les productions locales. ( notons cependant que sur ses marchés sont également vendus des productions venant de très loin !). En outre, promouvoir le maintien des marchés alors que la France manque cruellement de masques constituent une attitude particulièrement irresponsable. Il faudrait organiser les conditions de circulation des acheteurs comme dans les magasins avec les mêmes règles de régulation de la circulation.

« Les marchés en plein air, les halles commerciales alimentaires, c’est absolument indispensable » a dit le ministre. Malgré des images de marchés noirs de monde en période de confinement, le ministre de l’Agriculture et de l’Alimentation, Didier Guillaume, s’est opposé à leur fermeture ce jeudi soir, arguant sur notre antenne que les personnes âgées notamment « descendent en bas de leur immeuble pour se fournir au marché ». « C’est très important », a-t-il indiqué.

Selon lui, l’ouverture des marchés « n’est pas incompatible avec le confinement ». « Mais ça ne peut pas être la cohue comme avant (…). On ne peut pas se ruer sur tel ou tel étal et être collé avec les autres, il faut respecter la distance d’un mètre », a-t-il précisé.

« Si vraiment tous les français respectent cela, les marchés en plein air resteront des lieux de convivialité », a encore assuré Didier Guillaume. Il a néanmoins prévenu que les marchés resteront ouvertes « à condition que » toutes les règles « soient respectées ».

Et de conclure: « Mais aujourd’hui il faut que les préfets dans les départements assument avec les maires qu’on laisse ouverts ces marchés et si on voit que le respect des règles n’est pas là, on les ferme ».

 

Rouen: « La parole aux scientifiques! »( Didier Guillaume)

Rouen: « La parole  aux scientifiques! »( Didier Guillaume)

La parole doit revenir aux scientifiques vient d’indiquer fort prudemment le ministre de l’agriculture.  Une parole pleine de bon sens car la communication du gouvernement dans ce domaine a été catastrophique depuis le début. Comme souvent au départ, le préfet et autre autorités ont voulu minimiser tous les risques liés à cette catastrophe considérant même que la situation était redevenue totalement normale. Le problème c’est que dans ce genre de situation des conséquences ne peuvent être mesurées qu’à plus long terme, par exemple l’incidence sur les nappes d’eau, les cultures ou même sur les humains. L’évaluation doit s’effectuer dans le temps avec des les outils scientifiques et non des paroles rassurantes qui ne reposent sur aucune évaluation sérieuse.

« Je ne suis pas scientifique. (…) J’étais à Rouen hier après-midi, Christophe Castaner y est allé, Jean-Michel Blanquer, Agnès Buzyn, Élisabeth Borne et le Premier ministre. La volonté du gouvernement, (…) elle est très claire: la transparence totale. Rien ne sera caché. Tout sera mis sur la table », a assuré l’ancien socialiste.

Évacuant le spectre du fameux « nuage de Tchernobyl », épisode dont les zones d’ombre ont troublé de nombreux Français, Didier Guillaume s’est indigné que l’on puisse penser que « le gouvernement voudrait cacher des choses »:

Pour autant, le ministre de l’Agriculture n’est pas capable, pour l’heure, d’évaluer la dangerosité des produits brûlés dans cette usine, classée Seveso. « Tout sera publié entre demain et après-demain sur ce qu’il s’est passé », a-t-il déclaré, reconnaissant qu’il y avait « urgence ».

Pour autant, Didier Guillaume s’est montré incapable de s’exprimer sur certaines demandes d’assouplissement sanitaires, qui interrogent, formulées par Lubrizol durant l’été. « C’est normal qu’il y ait des questions! » a sursauté le ministre, avant d’admettre qu’il était également « normal d’y répondre ».

« L’affaire Ferrand et les dérèglements de l’Etat-Macron ». Une tribune très ambigüe de Guillaume Larrivé

« L’affaire Ferrand et les dérèglements de l’Etat-Macron ». Une tribune très ambigüe de Guillaume Larrivé

Dans un style très ampoulé, Guillaume Larrivé  (LR) critique Macron dans l’affaire Ferrand et en même temps conclut que Ferrand n’a pas à démissionner. Une sorte de fausses attaques peut être pour légitimer les dérives de certains responsables des Républicains (Fillon,balladur,  Sarkozy etc.). Tribune de l’Opinion

 

« L’avènement macronien devait ouvrir le règne du beau, du bien et de la vertu. Parmi les thuriféraires du nouveau Prince, un certain Richard Ferrand s’était signalé par ses gazouillis imprécateurs. Le réseau social à l’oiseau bleu garde la mémoire des réquisitoires de l’ex-directeur général des Mutuelles de Bretagne : « Nous disons à François Fillon qu’il a définitivement perdu toute autorité morale pour diriger l’Etat et parler au nom de la France », proclamait en avril 2017 le Vychinski de Carhaix-Plouguer, pourchassant alors « une droite qui voudrait que soit placé dans nos mairies et nos écoles le portrait d’un homme mis en examen. » Passons sur la balourdise du Tartuffe armoricain : chacun appréciera la sincérité du personnage.

Plus grave encore est l’accumulation, ces dernières heures, des dérèglements de l’Etat-Macron. C’est un festival. À peine la mise en examen de M. Ferrand était-elle connue que l’Elysée faisait savoir, jeudi matin, que le président de l’Assemblée nationale conservait « toute la confiance » du président de la République. Original. Sans doute une révision constitutionnelle implicite est-elle intervenue sans que nous n’y prenions garde : voilà qu’en 2019 le chef de l’exécutif prétend donner ou ôter sa confiance à celui qui préside l’assemblée législative. Cette bizarrerie est d’autant plus étrange que M. Macron accorde aujourd’hui sa confiance à un homme à qui il n’a pas le pouvoir de l’en priver alors que, en juin 2017, il l’avait retirée quand il avait le pouvoir de la maintenir. Rappelons en effet que le même M. Ferrand, alors nommé ministre par le même M. Macron, avait été prestement limogé après qu’une enquête préliminaire avait été diligentée au sujet de ses affaires immobilières bretonnes. Ne cherchez nulle logique juridique ou morale là-dedans. La seule règle qui guide ces gens, manifestement, est celle de leur intérêt du moment. Voilà le grand dérèglement.

Fange. Que l’on me comprenne bien. Je ne prends pas la plume pour me joindre ici au concert dissonant des aboyeurs qui jouent les chroniqueurs judiciaires ou les dispensateurs de moraline. J’aimerais seulement que chacun en revienne à ce qui est premier : les principes. Dans notre République, le principe de séparation des pouvoirs n’est pas une vieillerie décorative juste bonne à être évoquée devant les étudiants en droit. Il doit être pratiqué pour ce qu’il est. L’exécutif (même s’il est aujourd’hui boursouflé par le césarisme égocratique) n’a pas à décerner des brevets de vertu au législatif. Et, pardon de devoir rappeler cette évidence si méconnue, l’autorité judiciaire n’a pas un pouvoir de censure politique. Ce n’est pas parce que trois juges lillois décident de mettre en examen le président de l’Assemblée nationale (sans que l’on sache à ce stade, par définition, si des juges du fond le condamneront ou l’innocenteront un jour définitivement, lors d’un procès contradictoire devant un tribunal correctionnel, puis le cas échéant devant une cour d’appel, sous l’éventuel contrôle suprême de la Cour de cassation) que, illico presto, celui-ci serait tenu de mettre fin à la mission qu’il tient d’une élection par les députés de la nation.

Je ne défends certes pas M. Ferrand. Mais j’aimerais que la République ne tombe pas un peu plus chaque jour dans la fange : elle vaut mieux que le système de l’Etat-Macron.

Guillaume Larrivé, député LR de l’Yonne, est l’auteur de Le Coup d’Etat Macron. Le Prince contre la Nation (Editions de l’Observatoire, 2018). Il est candidat à la présidence des Républicains.

Corrida : encore une bourde Jacqueline Gourault et de Guillaume

Corrida : encore une bourde Jacqueline Gourault  et de Guillaume

 

 

 

Encore une bourde de  la ministre de la Cohésion des territoires Jacqueline Gourault et du  ministre de l’Agriculture qui se sont affichés pendant une corrida à Bayonne. Ce n’est sans doute pas la première fois et ces deux-là  près d’obtenir le prix Nobel.  Didier Guillaume, lui, ne pèse pas lourd dans le gouvernement aussi essaye-t-il de se maintenir avec une posture le plus souvent démagogique en faveur des lobbys. Ce ministre n’a même pas été capable de faire valoir les intérêts de l’agriculture française dans les accords commerciaux du CETA  avec le Canada et du Mercosur avec l’Argentine, le Brésil,  le Paraguay et l’Uruguay. Il n’a même pas compris la situation dramatique dans laquelle se trouvait l’agriculture française en raison notamment de la canicule (sauf pour les céréaliers pourtant affectés par la baisse des prix en raison des fortes productions dans les pays de l’Est).

 

Quant à Jacqueline Gouraud pseudo ministre de la cohésion territoriale, elle  multiplie les erreurs et les provocations. La vérité c’est que son ministère n’existe pas, qu’elle n’a aucun moyen et que les solutions qu’elle propose sont surréalistes. Par exemple pour alléger la pression fiscale des territoires oubliés,  elle a proposé une fiscalité supplémentaire ! Faute de vrai rôle au gouvernement elle fait entendre souvent sa voix de manière assez grossière. Une sorte de mélange de Georges Marchais  et de Nadine Morano. On se demande vraiment pourquoi le ministre de l’agriculture et Jacqueline Gouraud se sont ostensiblement affichés lors de cette corrida. Sans le pour marquer le fait qu’ils sont prés de ce peuple qui s’éloigne tellement de Macon, en tout cas les moins favorisés et les couches moyennes. On objectera que d’une certaine façon, c’est le personnage du gouvernement s’inscrive aussi dans la démarche un peu plus tertiaire de Macon qui par exemple n’a cessé de brosser dans le sens du poil les chasseurs.

 

Les élus écologistes se sont également emparés du sujet. «C’est un soutien clair et net à un massacre, un spectacle lugubre», a déploré Julien Bayou, porte-parole d’Europe Écologie-Les Verts (EÉLV), sur BFMTV. «Après Martine «s’en branle» de Greta Thunberg, Didier Guillaume «s’en branle» de la souffrance animale!», a ajouté l’eurodéputé Yannick Jadot.

 

Le ministre de l’Agriculture est particulièrement critiqué puisque, selon le décret du 24 mai 2017 relatif à ses attributions, Didier Guillaume «définit et met en œuvre la politique en matière de santé des plantes et des animaux, de protection animale». Pour David Belliard, candidat écologiste à la mairie de Paris, la présence de ce membre du gouvernement à une corrida illustre ainsi «l’intérêt, ou plutôt (le) désintérêt, qu’il porte à la lutte contre la souffrance animale».

Macron, « un système autocratique « (Guillaume Larrivé)

Macron, « un système autocratique « (Guillaume Larrivé)

 

  •  Guillaume Larrivé (LR) dénonce dans un article du JDD le système autocratique de Macron. Extrait :

Guillaume Larrivé : « Emmanuel Macron s’est emparé de la France en 2017 comme Machiavel s’est introduit au cœur du pouvoir à Florence en 1498 : à la tête d’une brigata, un commando de jeunes gens entièrement dévoués à leur prince. À l’Élysée, dans les ministères, au sein du parti LREM, il y a un État Macron, un système autocratique de confusion des pouvoirs dans les mains d’un seul homme et de ceux qui le servent », estime dans une interview au JDD celui qui a été nommé co-rapporteur de la commission d’enquête à l’Assemblée. Concernant le travail de cette commission d’enquête sur l’affaire Benalla, Guillaume Larrivé dit qu’il « n’accepter[a] pas [qu'elle] soit entravée par l’exécutif ou ses relais partisans à l’Assemblée nationale, qui veulent verrouiller le système Macron. » « Concrètement, comme co-rapporteur de la commission d’enquête, je tiens à ce que toute la chaîne hiérarchique, allant de MM. Benalla et Crase jusqu’à leurs maîtres, soit convoquée : la chaîne hiérarchique de l’Élysée jusqu’au secrétaire général, Alexis Kohler, et celle de La République en marche jusqu’à son délégué général, Christophe Castaner », explique-t-il. »

 

 

Privatisations : « Macron se comporte en banquier d’affaires »(Guillaume Peltier)

Privatisations : « Macron se comporte en banquier d’affaires »(Guillaume Peltier)

Guillaume Peltier, vice-président des Républicains et député du Loir-et-Cher dénonce les privatisations d’ADP et de la FDJ dans le JDD. .

Etes-vous favorable à la privatisation d’Aéroports de Paris (ADP) et de la Française des Jeux (FDJ), que le gouvernement veut engager?
Je ne suis pas opposé, par principe, à des privatisations. Certaines sont des succès : la fusion-privatisation de Suez-GDF a consolidé un grand champion français ; France Telecom, devenue Orange, a su se moderniser ; Renault, en s’alliant avec Nissan, s’est transformé en groupe mondial. Mais à titre personnel, je suis opposé à la privatisation d’Aéroports de Paris et de la Française des Jeux.

adikteev

Pourquoi?
Je m’inquiète de l’absence de stratégie industrielle d’Emmanuel Macron, qui se comporte davantage en banquier d’affaires sur ce sujet. Il a une vision à court terme. Le gouvernement ne veut pas réformer en profondeur. Il faut, par exemple, changer le régime de retraite de la SNCF qui coûte 3,3 milliards d’euros par an. Il préfère donc aller piocher l’argent dans l’urgence. Or, s’agissant de la FDJ, les traités européens eux-mêmes spécifient que la question des jeux relève de la souveraineté des États. Souvenons-nous du jeu Rapido, qui avait dû être retiré du marché en raison de son caractère addictif. Avec la privatisation, le risque existe que le résultat financier prévale sur la santé publique. Par ailleurs, savez-vous qu’un milliard de mises sont déjà passées ces dernières années des paris hippiques vers les jeux de grattage ? La privatisation risque d’accélérer ce phénomène, au détriment d’une filière cheval qui emploie 100.000 personnes en France et dont je mesure l’excellence, chez moi à Lamotte- Beuvron, siège national de la Fédération française d’équitation.

 

Pourquoi êtes-vous hostile à la privatisation d’ADP?
L’aéroport, c’est une frontière. Il est dangereux de privatiser une frontière. Même les États-Unis n’ont pas privatisé leurs 3.000 aéroports, au nom de l’intérêt stratégique et vital d’une nation. Regardons les exemples récents, comme la privatisation de l’aéroport de Toulouse décidée par Emmanuel Macron quand il était à Bercy. L’État l’a vendu à un groupe chinois, qui a d’abord disparu puis a transféré une bonne partie des bénéfices. Aujourd’hui, tout le monde s’accorde à dire que ce n’était pas une bonne idée.

 

Bruno Le Maire a promis que l’État garderait le contrôle de ses actifs stratégiques via des mécanismes de « régulation »…
La privatisation des autoroutes, à laquelle j’étais opposé il y a dix ans, est un précédent préoccupant. Je ne mets pas en cause la bonne foi de Bruno Le Maire. Mais à l’époque aussi, on nous avait garanti un contrôle strict des coûts des péages, de l’entretien des réseaux, etc. Or une fois la boîte de Pandore ouverte, elle ne fut jamais refermée. La privatisation s’est traduite par une hausse de 20 % des prix des péages en dix ans. Et aujourd’hui, quelques grandes sociétés d’autoroutes se répartissent 1,6 milliard d’euros de dividendes, privant l’État et les contribuables de ces recettes régulières. Pour ces raisons, les privatisations d’ADP et de la FDJ sont une mauvaise idée. Encore plus parce que ce sont des monopoles.

 

 » Bitcoin : un moyen de se libérer des banques et des Etats » (GUILLAUME MAUJEAN)

 « Bitcoin : un moyen de se libérer des banques et des Etats « (GUILLAUME MAUJEAN)

 

 

Dans une tribune aux Echos, (GUILLAUME MAUJEAN), Rédacteur en chef « Finance et Marchés,  explique de son point de vue les enjeux du bitcoin

 

«  Voilà une semaine qu’on ne parle que de ça et pourtant, avouez-le, vous n’avez toujours rien compris au bitcoin. Vous savez que c’est une monnaie virtuelle. Mais quel est l’intérêt d’une monnaie avec laquelle on ne peut quasiment rien payer au quotidien ? Vous savez que c’est un formidable instrument de spéculation. Que si vous aviez eu la bonne idée d’en acheter pour une petite centaine d’euros il y a sept ans, vous seriez aujourd’hui millionnaire. Mais vous savez aussi que  la bulle de ce nouvel or numérique ne demande qu’à éclater . Et pourtant, il faut prendre le bitcoin très au sérieux. Notre incrédulité face à ce phénomène est sans doute la même que celle que nous avions devant l’avènement d’Internet, devant les premiers réseaux sociaux ou la création de Wikipedia. Alors oui, le bitcoin est un instrument très difficile à saisir. Oui, il est parfois utilisé pour blanchir l’argent sale ou financer des activités illicites. Oui, l’emballement actuel des marchés est parfaitement irrationnel, et les épargnants qui seraient tentés de prendre le train en marche ont intérêt à apprécier les montagnes russes. Mais tous ces éléments ne doivent pas masquer l’essentiel. Au-delà de ses acrobaties boursières, le bitcoin  nous raconte une histoire . Il est né en 2009, juste après le déclenchement de la crise financière du siècle, et ce n’est évidemment pas une coïncidence. Il a pris son essor peu après qu’Edward Snowden a révélé comment la NSA organisait une surveillance de masse des citoyens, et ce n’est pas un hasard non plus. Car le bitcoin rassemble une communauté porteuse d’un projet politique : libérer la monnaie de l’Etat et des banques. Il porte des valeurs et une idéologie : la revendication d’une devise pure et apatride, la promotion des libertés individuelles, la défense du marché libre… Au moment où un certain  Satoshi Nakamoto fonde le bitcoin, l’explosion des subprimes et la faillite de Lehman Brothers ont jeté le discrédit sur l’industrie bancaire. Les Etats sont condamnés à venir à la rescousse des établissements en perdition. Les banques centrales font alorstourner la planche à billets. Elles injectent des milliers de milliards de dollars dans l’économie pour éviter un remake de la Grande Dépression. Avec l’aide des régulateurs se met alors en place une forme de « répression financière » pour contenir le fardeau d’une dette qui n’a cessé de s’envoler, au grand dam des épargnants. Le bitcoin s’inscrit clairement en opposition à ce nouvel ordre monétaire, dans un mouvement de contestation des pouvoirs politiques et bancaires, jugés incapables d’offrir une monnaie de qualité. Le bitcoin, lui, ne dépend d’aucun Etat, d’aucune banque, ni d’aucune autorité centrale. Il n’y a aucune possibilité d’éroder sa valeur en menant une politique inflationniste ou en faisant tourner la « planche à billets », puisque les règles du jeu ont été fixées dès le départ et sont immuables. C’est un algorithme qui se charge d’organiser toutes les émissions, qui vont aller décroissant jusqu’en 2140. Il n’y aura donc jamais plus de 21 millions de bitcoins en circulation.La rareté de la monnaie est inscrite dans le « code » qui fait office de règle intangible de politique monétaire. Chaque bitcoin est unique. L’historique de tous ses propriétaires successifs est gardé en mémoire par la fameuse « chaîne de blocs », mais tous les propriétaires restent anonymes. Une monnaie qui peut s’échanger librement partout dans le monde, qui ne laisse pas de traces, qui ne réclame aucuns frais de transactions bancaires… C’est la pierre de touche d’un système où les individus sont enfin affranchis de tout arbitraire politique. Le moyen de se libérer de l’emprise de l’Etat et du contrôle que celui-ci exerce sur les informations relevant de la sphère privée.  Le rêve de la philosophe Ayn Rand et des libertariens qui devient réalité .  « Les préoccupations ne sont pas seulement d’ordre technique (sécurisation des données par le cryptage), elles sont aussi philosophiques et politiques : il s’agit de réfléchir aux moyens de contourner le monopole acquis par l’Etat pour le contrôle de l’offre de monnaie et de restituer les pleins pouvoirs d’utilisation de celle-ci à la communauté », résument les économistes Odile Lakomski-Laguerre et Ludovic Desmedt dans une  étude éclairante (1). Mais pour que le système perdure et s’étende, encore faut-il qu’il rencontre une forme d’adhésion collective. Le bitcoin était au départ curiosité de geeks. Puis il a séduit une communauté de libertariens qui honnit toute forme d’intervention de l’Etat ou des régulateurs publics, qui place la liberté individuelle au rang de ses valeurs suprêmes, qui accorde aux machines et aux codes informatiques davantage de légitimité qu’à l’intelligence humaine. Et qui rêve donc de faire des cryptodevises un véritable système financier alternatif. Ses défenseurs les plus enthousiastes le rêvent en secret : le bitcoin annonce un nouvel ordre monétaire et, donc, économique. Mais il peut aussi être étouffé ou stoppé net. Aux cours actuels, le bitcoin capitalise quelque 160 milliards de dollars. C’est à la fois beaucoup pour une devise si jeune – l’équivalent d’un groupe centenaire comme Coca-Cola. Et une goutte d’eau au regard des 80.000 milliards de liquidités dans le monde. Voilà sans doute pourquoi les Etats, les banquiers centraux ou les régulateurs regardent de haut cet ovni financier. Quand il prendra encore plus de valeur, quand les particuliers pourront acheter davantage de biens avec leurs bitcoins, autrement dit quand il commencera à menacer leur propre autorité, les gouvernements s’y intéresseront sûrement de plus près. Et chercheront alors des moyens de l’éradiquer, comme Washington cassa un Standard Oil un peu trop puissant à son goût au début du XXe siècle. Le bitcoin a déjà résisté à bien des secousses – krachs à répétition, faillites de plates-formes frauduleuses, vagues de piratage. Pourra-t-il résister au réveil des pouvoirs publics ?

(1)  « L’alternative monétaire bitcoin : une perspective institutionnaliste » (dans « La Revue de la régulation », automne

Le Frexit est inévitable ! (Guillaume Bigot)

Le Frexit est inévitable !  (Guillaume Bigot)

Une interview intéressante dans le Figaro même si on peut être en désaccord complet de Guillaume Bigot, Guillaume Bigot  est essayiste,  Il est membre fondateur du Comité Orwell et Directeur Général de l’IPAG Business School, Cet ancien proche de Jean-Pierre Chevènement , pur produit de Sciences-po,  pronostique un Frexit inévitable, c’est-à-dire un divorce de la France avec l’union européenne. La lecture de cette interview mérite  intérêt car elle se situe bien dans la philosophie des élites de Sciences-po capables de traiter de tout  mais en évitant surtout la question centrale de l’économie notamment de la croissance et de l’emploi. De quoi mieux comprendre la dialectique des nationalistes anti-européens.  Un discours assez proche de celui de Florian Philippot du Front National lui aussi ancien proche de Jean-Pierre Chevènement (et ce dernier  aussi totalement ignare en matière d’économie).


- Le Brexit est-il un revers pour la classe dirigeante?

 

Guillaume BIGOT. – Depuis 30 ans, le grand dessein fondait la légitimité de la classe dirigeante. Le Brexit a lézardé ce socle. Le dépassement de l’État nation démocratique sur le vieux continent n’est plus inéluctable. Jusqu’en 1940, contester le bien fondé de la ligne Maginot était inconcevable. Imaginer qu’elle pourrait être contournée faisait de vous un hurluberlu. Les gens bien, les spécialistes, les experts, a fortiori les dirigeants ne questionnaient pas le dogme de l’invincibilité de l’armée française qui se confondait avec celui de la supériorité de la stratégie défensive sur la stratégie offensive. En 1958, l’idée que l’Algérie n’était pas la France n’était partagée que par une poignée d’extrémistes. Le rapatriement de millions de pieds-noirs était tout simplement impensable.

Le caractère inéluctable de l’UE rentre dans cette catégorie de totem et tabou.

Toute classe dirigeante est conformiste, y appartenir suppose de partager les convictions qui lui servent d’auto justification. Ces convictions forment des «paradigmes historiques». La croyance dans l’unification européenne forme un paradigme historique. En général, les dirigeants tiennent à leurs paradigmes plus qu’ils ne tiennent à leurs pouvoirs. Contrairement à ce que croient les marxistes et les libéraux, les puissants perdent souvent leur pouvoir parce qu’ils refusent de remettre en cause les convictions qui le fondent. Et c’est la raison pour laquelle, lorsque les faits ou la réalité viennent contredire et parfois percuter ce paradigme, les dirigeants sont victimes de ce que les économistes appellent un «aveuglement au désastre». Zeus aveugle les mortels qu’il veut perdre. La classe dirigeante européenne en est là par rapport à l’Europe. La plupart de nos dirigeants (la tribune de BHL en offre une illustration caricaturale) continuent à tenir les eurosceptiques pour de dangereux fauteurs de guerre et à croire que le ciel des marchés va tomber sur la tête des souverainistes.

 

- Au fond, qu’est-ce que l’Union européenne?

 

Une utopie. Ce qui a rendu cette utopie enviable et a incité plusieurs générations de dirigeants à l’imposer sur la réalité des États nations européens, c’est un double refus ou plutôt une double conjuration. D’abord, la conjuration du péril brun incarné par les crimes perpétrés par le nazisme. Ensuite, la conjuration du péril rouge incarné par les affres du communisme. L’Union européenne est un édifice juridique, institutionnel, politique et économique destiné à protéger les peuples et les États qui la composent contre ces deux périls. En ce sens, le projet européen n’est porté par aucune idéologie positive et encore moins par une volonté de puissance. La consécration du bon plaisir individuel (le droit des minorités est son extension) comme norme suprême à laquelle nous invite la jurisprudence de la CEDH s’accompagne d’une déligitimation de toute certitude susceptible de s’imposer l’individu donc de toute idéologie. Le projet européen est également antinomique de toute volonté de puissance. L’Europe, c’est un effort titanesque pour s’attacher les uns aux autres afin de ne plus rien vouloir, ni pouvoir ensemble. L’UE, c’est un club d’ex-alcooliques qui cassent leurs verres et leurs bouteilles, détruisent leurs tire-bouchons afin d’être certains qu’ils ne toucheront plus jamais une goutte d’alcool. Plus jamais ça: plus de raison d’État, plus d’armée, plus de budget, plus d’impôt, plus de démocratie directe, plus de frontière, plus d’assimilation des migrants: une monnaie au service des marchés et le multiculturalisme et l’armée américaine pour tous.

 

- Pourquoi les Britanniques ne croient plus dans cette utopie?

 

Ils n’y ont jamais cru. Le besoin de délimiter l’État comme volonté de puissance, de brider la souveraineté nationale comme expression de la volonté populaire, de délier légitimité politique et culturelle (un État multi culturel et post-national qui ne ferait plus la guerre et dans laquelle les migrants garderaient leur culture d’origine) n’avait aucune raison de séduire le peuple anglais. Londres n’est jamais entrés dan l’Euro, ni dans Schengen et n’a jamais accepté que les lois sont faites ailleurs qu’aux Communes.

 

- Les membres de l’Union européenne sont-ils si désunis que cela?

Ce terme d’union est trompeur car il y a au moins quatre types d’États membres. La première catégorie, comme le Danemark ou la Grande-Bretagne, sont rentrés par opportunisme économique mais aussi pour manipuler les rouages institutionnels. La GB est le premier et ils sortiront tous. La seconde catégorie ce sont les États de l’Europe du Sud qui sont entrés pour protéger leurs démocraties fragiles dans les années 80 (Grèce ; Portugal ; Espagne ; etc.). Eux aussi sont entrés par calcul, ils voulaient soutirer des aides structurelles.

Troisième catégorie, les Etats libérés par la fonte du glacis soviétique qui sont venus chercher des aides structurelles mais aussi un mécanisme de ré assurance militaire vis-à-vis de la Russie à travers le lien organique entre l’OTAN et l’UE. Les traités européens font en effet de l’organisation militaire aux ordres du président des États-Unis le «bras armé de l’Europe», ce qui ne manque pas de sel lorsque l’on sait que l’une des principales justifications de la construction européenne consiste à vouloir équilibrer la puissance américaine. La seule catégorie d’État sincèrement européiste, ce sont ceux du noyau originel: France ; Allemagne ; Belgique ; Pays-Bas ; Luxembourg et Italie. D’autres pays à l’identité malheureuse comme l’Autriche, la Croatie ou la Roumanie peuvent s’y agréger.

 

- Ces pays fondateurs peuvent-il avancer plus loin entre eux et créer un noyau dur?

Les dirigeants en rêvent et une part de plus en plus importante de l’opinion de certains de ces pays en cauchemardent. L’Allemagne est militairement et démocratiquement traumatisés et perçoit l’immigrant comme un rédempteur, elle est prête à accélérer. Pour des raisons qui leurs sont propre, les Luxembourgeois et les Belges n’ont pas grand chose à sacrifier en sacrifiant leur souveraineté. Le nationalisme italien a été moins ébranlé par le fascisme que le chauvinisme allemand mais n’est pas sorti indemne de son exaltation par Mussolini. C’est aussi un État nation récent et donc fragile qui n’hésitera pas à se dissoudre. La fécondité de ces peuples décline rapidement et de manière inexorable (les politiques natalistes ayant été fortement délégitimés par les pratiques des régimes totalitaires dans ce domaine). Si la loi de l’hystérèse se vérifie, l’Allemagne, l’Autriche, la Roumanie et les anciens pays de l’axe resteront longtemps arc-boutés sur un projet de dépassement de l’État nation et de la volonté populaire par l’Europe. Le projet européen perdurera. Il y aura une vaste confédération helvétique à échelle continentale, maison de retraite historique pour peuples fatigués, pacifistes et bien décidés à gérer et leur rente économique et leur déclin démographique. Rappelons que la France gagne 500 000 habitants chaque année tandis que l’Allemagne en perd 500 0000.

 

- Le Frexit est-il probable?

Il n’est pas seulement probable, il est inévitable même s’il sera plus long à venir.

De 1944 à 1977, l’idée qui domine l’opinion française, c’est que les collaborationnistes ne représentaient rien n’y personne. Dans le même laps de temps, l’Europe n’allait pas au delà d’un marché commun, avec défense d’un tarif extérieur commun et négociation âpres vis-à-vis des tiers.  Avec l’élection de Giscard qui explique à la France qu’elle est devenu une puissance moyenne (1974) avec la diffusion du feuilleton Holocauste (1978), un processus de culpabilité nationale s’est mis en marche qui culmine avec le discours de Chirac au Vel d’Hiv (1995). Le Français était devenu Dupont-Lajoie. Un collabo, un pétainiste, un beauf. Surtout s’il était pauvre et peu éduqué. L’Europe a alors pu s’imposer comme une sorte de piscine purificatrice éliminant les souillures historiques. Le Frexit ne surviendra que lorsque la vérité sur cette époque s’imposera. Et le noyau perce déjà l’écorce: les historiens s’accordent pour considérer que les Français furent un temps bernés par Pétain en sa qualité de vieux lutteur anti-germanique et puis ils passèrent le reste de la guerre effarés par les crimes de l’occupant, pestant contre un régime qu’ils n’avaient pas choisi et laissant leur joie exulter à la libération. Moralement, les Français ne furent jamais du côté des nazis. La chouette de Minerve prend son envol à la tombée de la nuit. Nous ne sommes pas très loin de cette prise de conscience qui va déchirer le drapeau européen comme un voile obscurcissant l’avenir. L’enjeu est là pour les Français: ne plus être symboliquement et moralement assimilés aux Allemands (l’alignement moral a été un préalable à l’alignement monétaire qui s’est réalisé dans la douleur avec la désinflation compétitive et qui se poursuit avec l’austérité) et ce travail est presque terminé. Aux lendemains du 13 novembre, nous avons éprouvé une fierté à brandir le drapeau tricolore et au-delà, que face à l’adversité, nous devions assumer un destin grand et singulier. En revanche, nous ne croyons pas encore que nous avons en nous les ressources suffisantes pour exister sur un plan technologique, économique, militaire et même onirique (on domine aussi par les rêves) face à la mondialisation américaine ou chinoise.

 

- Le Royaume-Uni va-t-il éclater après le Brexit?

C’est probable mais cela n’aura qu’un lien indirect avec le Brexit. Comme nous l’écrivions avec Jean-Claude Barreau dans Toute la géographie du Monde : «l’Écosse se dirige doucement et sans rancœur vers l’indépendance et la dissolution de l’acte d’union». Le royaume n’est uni que depuis 1707, date à laquelle l’Écosse, nation indépendante et différente géographiquement (vieux massif au climat plus proche de celui de la Norvège que de celui de la Normandie qui est celui des plaines anglaises) et historiquement (l’écosse n’a pas été romanisée) de l’Angleterre. L’indépendance de l’Écosse ne sera pas une nouveauté mais un retour en arrière (pendant la guerre de cent ans, les gardes de Jeanne d’Arc étaient écossais). Braveheart n’est pas mort dans le cœur des Écossais et c’est un peu le processus européen, beaucoup la découverte du pétrole mais aussi la fin de l’empire britannique (les Écossais y avaient joué un rôle déterminant) qui explique le retour de ce refoulé. Non seulement, le processus d’unification européen est un processus de désunification nationale (en Espagne, en Italie, en Grande-Bretagne et ailleurs) mais le Brexit a bien mis en exergue une différence de sensibilité politique entre une écosse riche mais travailliste et une Angleterre qui tolère mieux des extrêmes sociaux. Ajoutons que l’Irlande est dans la même situation de divorce et là ce sera plus grave car la guerre entre Anglais et Irlandais du Nord peut se rallumer.

Qu’attendre La loi Travail : rien du tout ! (Guillaume Sarlat)

Qu’attendre La loi Travail : rien du tout ! (Guillaume Sarlat)

Guillaume Sarlat est polytechnicien et inspecteur des Finances, il dénonce la démarche et l’efficacité de la loi travail dans une interview au Figaro.

 

Depuis trois semaines, le projet de loi du gouvernement dit «loi Travail» fait l’actualité politique et économique en France. Il faut dire que le scénario est riche et les acteurs hauts en couleur. Un texte qui fuite sous différentes versions avant qu’il ne soit formellement présenté. Une Ministre qui ne connaît pas très bien le droit du travail. Une concertation précipitée et organisée à chaud. Un conseiller de la Ministre qui démissionne de son cabinet parce qu’il est opposé au texte. Des négociations avec un syndicaliste étudiant encore en licence à 27 ans. Un rétropédalage en urgence sur l’utilisation du 49-3, puis sur une partie du texte lui-même…

Avec la perspective des présidentielles, la question qui accapare les débats est: est-ce que cette séquence est bonne pour François Hollande? En apparence non. Comme souvent depuis 4 ans, c’est l’amateurisme et l’impréparation qui dominent à première vue, sur un projet de loi pourtant présenté comme majeur. Mais à l’analyse, le bilan pour François Hollande est plus positif qu’il n’y paraît.

 

Ce projet de loi lui permet de faire diversion.

D’abord, ce projet de loi lui permet de faire diversion. François Hollande s’était engagé à inverser la courbe de chômage et à ne se représenter en 2017 que s’il y parvenait. Or il est maintenant clair qu’il n’y aura pas d’inflexion dans la dynamique du chômage d’ici à l’élection présidentielle: l’économie française ne crée pas assez d’emplois. Grâce au rapport de Robert Badinter et d’Antoine Lyon-Caen sur le droit du travail, François Hollande a replacé le débat sur un terrain qu’il maîtrise: la loi. Il pourra dire qu’il a agi jusqu’au dernier moment contre le chômage, même si les résultats n’ont pas été là.

Ensuite, ce projet de loi affaiblit la position des Républicains. En baissant massivement les charges sociales sur les bas salaires avec le CICE puis le pacte de responsabilité et de solidarité, Hollande avait déjà emprunté aux Républicains l’une de leurs mesures économiques phares. Avec la simplification du droit du Travail, c’est leur deuxième priorité économique qu’Hollande fait sienne, condamnant les candidats aux primaires de la droite à se prononcer ces derniers jours en faveur de la loi Travail.

Ce projet de loi renforce également la position de François Hollande en cas de primaire à gauche car Manuel Valls et Emmanuel Macron, ses deux seuls concurrents sérieux, soutiennent ce projet de loi et donc sont engagés à ses côtés.

Enfin, en réduisant le 14 mars la portée du texte par rapport à ses premières versions, François Hollande peut se targuer d’avoir tenu compte de l’opinion des Français: dans les sondages portant sur la première mouture du texte, deux personnes interrogées sur trois disaient en effet y être défavorables. Ce nouveau texte permettra aux soi-disant «frondeurs» du Parti Socialiste et aux partenaires sociaux, en mal de soutiens et de mobilisation, de sauver la face en disant qu’ils ont obtenu des concessions. Et il permettra à François Hollande de dire qu’il réforme la France sans la brutaliser, ce qui pourra être utile le moment venu face à Nicolas Sarkozy, Alain Juppé ou Marine Le Pen.

Ce projet de loi est donc sans doute un bon coup tactique pour Hollande. Certes. Mais la question à se poser est plutôt: est-ce une bonne réforme pour l’économie française et les Français?

Qu’y a-t-il dans cette loi finalement? Diverses mesures qui viennent diminuer les droits des salariés, notamment sur le temps de travail, les heures supplémentaires, les congés ou encore la mécanique des accords avec le patronat, où les accords d’entreprises devraient désormais primer sur les accords de branches ; la création d’un référendum d’entreprise ; et un recours plus facile au licenciement économique, les difficultés des entreprises étant désormais appréciées au plan national. Le plafonnement obligatoire des indemnités de licenciement, déjà censuré dans le cadre de la loi Macron par le Conseil constitutionnel, a en revanche été retiré du projet de loi.

Que peut-on attendre de cette loi pour la croissance et l’emploi en France ? En pratique très peu de choses, voire rien du tout.

Que peut-on attendre de cette loi pour la croissance et l’emploi en France? En pratique très peu de choses, voire rien du tout.

Si la croissance faible et le chômage de masse en France provenaient d’un problème de compétitivité-prix, cela se saurait. Ces dernières années l’économie française a en effet bénéficié de 30 milliards d’exonérations de charges sociales supplémentaires sur les bas salaires, d’un pétrole à 30$, d’un euro autour de 1,1$ et d’une liquidité de la BCE chaque jour plus abondante. Sans que cela permette de créer des emplois en France. On imagine mal que des assouplissements marginaux du temps de travail ou des congés y arrivent.

La loi Travail n’est malheureusement qu’une nouvelle étape dans la politique low cost / low innovation en place depuis plusieurs dizaines d’années en France.

Les exonérations de charges sur les bas salaires ont été le pilier de cette politique depuis 1993 et les allègements Balladur, suivis des allègements Juppé en 1996, Aubry entre 1998 et 2002, Fillon entre 2003 et 2005, et bien sûr l’apothéose avec François Hollande et le CICE (2012) puis le pacte de responsabilité et de solidarité (2013).

Difficile désormais d’aller plus loin en matière d’exonérations de charges sociales sur les bas salaires, avec un budget de 50 milliards d’euros (premier budget des dépenses publiques, devant l’enseignement scolaire) et des charges sociales patronales désormais nulles au niveau du SMIC depuis le 1er janvier 2015.

C’est donc la déconstruction du droit du Travail qui a pris le relais dans la politique low cost / low innovation. Le droit du Travail était déjà moins protecteur qu’on ne peut le penser, notamment parce qu’il permet de contourner les droits offerts aux contrats à durée indéterminée (CDI) par les contrats de stagiaires et de CDD (contrats à durée déterminée, utilisables en cas de «surcroît d’activité» sans que celui-ci soit nécessairement exceptionnel). Et en 2008 Sarkozy a introduit la rupture conventionnelle et assoupli les règles d’organisation du temps de travail. Puis Hollande a assoupli le recours aux CDD en 2015 en autorisant deux renouvellements.

Ces politiques low cost / low innovation sont les piliers du libéralisme à la française, ce modèle très favorable aux grands groupes qui leur permet de se concentrer sur l’optimisation à court terme de leurs coûts, aux détriments des PME et des salariés, et de transférer tous leurs coûts sociaux à un Etat Samu social hypertrophié et inefficace.

Agir pour le Travail en France, c’est donc sortir de ce libéralisme à la française, en finir avec l’irresponsabilité sociale des acteurs économiques et notamment des grands groupes, et l’inefficacité des acteurs publics.

Les mesures d’une loi pour le Travail seraient donc bien différentes de la «loi Travail» qui nous est proposée aujourd’hui.

Une loi pour le Travail responsabiliserait les entreprises. D’abord en créant des contre-pouvoirs aux patrons, seuls maîtres à bord dans les entreprises. Ceci passe par le développement d’un véritable actionnariat salarié, aujourd’hui réduit à des dispositifs de défiscalisation et de rétention des cadres sans participation aux décisions de l’entreprise, et par une réforme de la gouvernance des entreprises françaises, aujourd’hui totalement déséquilibrée en faveur du patronat.

Ensuite, en responsabilisant les entreprises spécifiquement sur leurs comportements d’employeur, avec une modulation des cotisations sociales en fonction des impacts pour la collectivité de leurs politiques sociales: turnover, formations, licenciements etc.

Une loi pour le Travail moderniserait également les services publics liés à l’emploi.

L’inefficacité notoire de l’AFPA et de Pôle Emploi devrait conduire à s’interroger sur l’existence même non pas des services publics de la formation continue ou du placement, mais des opérateurs publics qui en ont la charge.

Et la complexité des règles fiscales et sociales devrait inviter à considérer un système de prélèvements plus simple, où les exonérations seraient l’exception et non la règle, pour une transparence et une facilité d’utilisation plus grandes, notamment pour les PME.

Les politiques, dont François Hollande et son gouvernement, sont tellement bien installés, depuis si longtemps et avec tellement de confort dans le libéralisme à la française qu’on ne peut rien attendre d’eux.

Il est également peu probable que le salut vienne des syndicats. Certes ils ont proposé il y a quelques jours dans la négociation une taxation des CDD pour responsabiliser les entreprises. L’objectif est bon, mais malheureusement la mesure est mauvaise: le fait d’utiliser des CDD n’est pas un mal en soi, si c’est justifié. Et ils ont également proposé que la «garantie jeunes», le nom d’emprunt du RMI jeunes créé par François Hollande, soit généralisée, dans la plus pure logique de l’Etat Samu social…

Avec ou sans la loi Travail, avec ou sans réélection de François Hollande, les politiques low cost / low innovation, la croissance faible et le chômage de masse ont donc encore de beaux jours devant eux…

 

 




L'actu écologique |
bessay |
Mr. Sandro's Blog |
Unblog.fr | Annuaire | Signaler un abus | astucesquotidiennes
| MIEUX-ETRE
| louis crusol