Poupard : « La collaboration entre terroristes et hackers est une vraie crainte »
Pare-feu. En matière de cyberdéfense, il faut développer une « saine paranoïa », affirme Guillaume Poupard, patron de l’Anssi.
«Déposez vos équipements électroniques dans le casier. » Lorsqu’on s’apprête à rencontrer le cyberdéfenseur de la France dans ses bureaux sécurisés, aux Invalides, à Paris, il faut se déconnecter du monde. Polytechnicien (X92), docteur en cryptographie et diplômé en psychologie, cet ancien de la Direction générale de l’armement a participé, dans une autre vie, au développement d’armes informatiques
Le Point : La France envisage-t-elle une « cyberapocalypse » où Internet serait temporairement coupé ?
Guillaume Poupard : Il est probable que des cyberattaques massives réussissent : nous n’empêcherons pas toutes les tentatives. L’enjeu est donc d’en limiter les conséquences et de permettre un retour à la normale le plus rapide possible. Je suis persuadé que nous sousestimons les effets d’une coupure d’Internet : si l’Etat dispose bien de moyens de résilience pour maintenir les fonctions vitales (lire encadré) en cas de catastrophe, son fonctionnement serait tout de même très dégradé.
Est-il difficile d’attaquer ?
Les armes informatiques sont des « armes du pauvre », asymétriques. Avec quelques dizaines de personnes, il est possible d’obtenir des effets très graves. La collaboration entre des terroristes et des mercenaires hackers est une vraie crainte, tout comme l’action d’entités soutenues par des Etats, dans le cadre de conflits déclarés ou non.
Quelles seraient les cibles en France ?
Nous craignons par exemple une prise de contrôle d’infrastructures critiques, dans les transports, l’énergie ou les télécoms, entraînant immédiatement ou rapidement des victimes humaines.
Internet a été imaginé par l’armée américaine pour résister à une guerre nucléaire. Quelques terroristes pourraient-ils le faire tomber ?
La capacité de résistance du réseau n’est valable que si le maillage est réparti sur le territoire : je ne suis pas sûr que ce soit suffisamment le cas chez nous. Et les attaques récentes contre OVH [hébergeur français de sites Internet et de données, devenu un géant européen, NDLR] en France etc ontre Dyn
[fournisseur de services pour les noms de domaine] aux Etats-Unis nous rendent humbles.
Savez-vous identifier les attaquants ?
L’attribution des attaques est très difficile. Et, même quand nous savons qui a attaqué, nous ne pouvons pas, par exemple, produire de preuves, parce que cela révélerait nos capacités de renseignement ou nos sources. Nous fournissons alors ces éléments au pouvoir politique, pour lequel c’est une aide précieuse à la décision.
Faites-vous confiance à nos alliés ?
Nous ne sommes pas naïfs : en matière de cyberdéfense, nous n’avons pas d’amis ! Nous n’avons que des alliés et faisons preuve à leur égard d’une saine paranoïa. Cela dit, je n’imagine pas la NSA faire dérailler un TGV en France, c’est totalement inconcevable.
Les accusations des partisans de Hillary Clinton contre les hackers russes ont-elles déclenché une prise de conscience en France avant l’élection présidentielle de 2017 ?
Nous ne pouvons pas ignorer le risque d’attaques liées à l’élection présidentielle. Cela inclut la sécurisation du vote informatique des Français de l’étranger, mais cela passe aussi par la sensibilisation des partis politiques. Ces derniers sont des « clients » très compliqués : nous ne pouvons pas les protéger comme nous protégeons les ministères, ce n’est pas notre rôle.
Il n’y a pas eu de victimes humaines de cyberattaques en France ?
Pas à ma connaissance. Dans de nombreux cas, nous nous sommes fait peur : les attaquants n’étaient heureusement là que pour voler des informations. Mais preuve était faite qu’ils auraient pu faire des victimes.
Les entreprises françaises se protègent-elles suffisamment ?
C’est variable. Mais elles craignent souvent d’échanger leurs informations. Quand nous les
réunissons dans une même salle, il n’y a plus un bruit autour de la table. C’est pourquoi l’Anssi assure un rôle de coordination, de tiers de confiance, et diffuse des retours d’expérience anonymisés