CYBERSÉCURITÉ «La criminalité de masse se développe»
Rançongiciels, réseaux 5G, «actes inamicaux»… Le directeur général de l’Agence nationale de la sécurité des systèmes d’information, Guillaume Poupard, revient sur les évolutions de 2019 et les enjeux des années à venir.
Chargée de superviser la protection des réseaux de l’Etat et des entreprises sensibles (les «opérateurs d’importance vitale»), l’Agence nationale de la sécurité des systèmes d’information (Anssi) compte aujourd’hui 600 agents, contre 120 à sa création en 2009. En dix ans, la cybersécurité est devenue, en France comme ailleurs, une préoccupation majeure, à mesure que se succédaient des piratages tour à tour discrets ou spectaculaires. Des attaques informatiques ayant ciblé Airbus via ses sous-traitants, aux rançongiciels (des logiciels qui «cryptent» les données et exigent une rançon pour les déverrouiller) qui ont affecté la société de conseil Altran, la chaîne M6 ou le CHU de Rouen, 2019 n’a pas fait exception. Guillaume Poupard, directeur général de l’Anssi, revient pour Libération sur les évolutions et les enjeux à venir.
Que retenez-vous de 2019 en matière de cybersécurité ?
Cette année a vu se concrétiser, en France, deux menaces que nous avions vu venir. D’une part, les attaquants exploitent la complexité des systèmes industriels et les liens de confiance entre certaines entreprises et leurs prestataires pour déjouer les défenses de leurs cibles. Le seul point positif, c’est que cela signifie qu’il est devenu difficile d’attaquer directement ces entreprises. Les efforts de sécurisation commencent à payer, la porte est fermée, mais il reste malheureusement pas mal de fenêtres… Il va donc falloir, au sein de ces écosystèmes industriels, revoir les architectures, resegmenter, recloisonner, y compris en interne.
L’autre phénomène, très visible et qui le sera de plus en plus, c’est le développement d’une menace criminelle de masse, avec notamment les rançongiciels. Ceux-ci ne sont pas nouveaux, mais on voit désormais se développer des groupes criminels très spécialisés, qui ciblent leurs victimes, et peuvent dans le même temps en cibler beaucoup. On l’a vu aux Etats-Unis avec des hôpitaux, des villes, des universités. Cela arrive en France. L’expérience du CHU de Rouen en novembre a été, malheureusement, la réalisation d’un scénario que nous avions anticipé. Cette criminalité massive augmente, et il va falloir être capable d’arrêter ce phénomène.
Des responsables de sécurité informatique d’autres établissements de santé se sont plaints d’un manque d’information, selon le Monde. Il y a eu du retard à l’allumage ?
Il y a à peu près 3 000 établissements de santé en France. Tous ne sont pas en capacité d’utiliser efficacement l’information technique que nous pouvons fournir… Les CHU qui sont opérateurs d’importance vitale ou opérateurs de services essentiels [statut créé par la directive européenne de 2016 sur la sécurité des réseaux, ndlr], soit une quarantaine d’établissements, ont reçu l’information très vite. Je ne suis pas certain que tous étaient capables de l’absorber : une fois que nous avons transmis les «marqueurs» permettant de détecter une menace, encore faut-il qu’ils soient outillés pour la chercher. Quant aux autres, il y en a qui ne sont absolument pas prêts. Si certains ont râlé, c’est sans doute que la démarche de communication a un peu tardé. Après chaque crise, on procède à un retour d’expérience, on s’améliore, en travaillant notamment sur la coordination entre l’Anssi et les équipes ministérielles concernées. Il faut par ailleurs souligner que le CHU de Rouen a redémarré en trois jours : cela montre qu’une victime, même quand elle n’a pas les moyens d’être au «top niveau» en matière de sécurité, peut énormément réduire l’impact d’une attaque par de la préparation. C’est cela que nous cherchons à propager chez d’autres acteurs.
Qu’en est-il des menaces informatiques qui ne sont pas aussi visibles ?
L’espionnage reste une vraie menace, de niveau stratégique – une manière polie de dire qu’elle émane des grands Etats – et qui est devenue très discrète : on ne voit plus beaucoup de pays qui font peu d’efforts pour se cacher. Elle est aussi plus ciblée pour certains, qui avaient tendance à attraper tout ce qu’ils pouvaient et à traiter après. L’autre type de menace, qui a commencé à nous inquiéter en 2016, ce sont les attaques à des fins de déstabilisation. Cette menace-là, on va apprendre à vivre avec. Ce qui veut dire, d’une part, avoir un dialogue franc et direct, pas forcément public, avec les gens qu’on soupçonne d’être à l’origine de ces attaques ; et d’autre part, sensibiliser les cibles potentielles, les équipes de campagne, les candidats, leur entourage… Cela n’empêchera pas les attaques, mais si nous faisons bien notre travail de sensibilisation, cela fera évoluer les manières de travailler. Elever le coût des attaques et signifier que ce sont des actes inamicaux, ce n’est pas magique, mais ça a quand même un certain impact.
Le dernier risque, qui reste la menace majeure prise en compte par l’Anssi au titre de la sécurité nationale, ce sont les risques de sabotage sur les systèmes industriels, les objets connectés… Des secteurs comme le transport, l’énergie, les télécoms seront ciblés par certaines attaques. Il y a un nouvel espace de conflictualité, avec des règles qui restent encore à clarifier et appli