Cyberdéfense : la France veut impliquer la société civile

"La cybersécurité est l'affaire de tous", a l'habitude de déclarer Guillaume Poupard, le directeur de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, en première ligne pour la lutte contre la cybermalveillance. Mais si l'agence en fait déjà beaucoup toute seule, avec près de 600 collaborateurs et une expertise reconnue, elle en appelle aussi à tous ceux qui utilisent au quotidien les technologies de l'information. Dans notre monde ultra connecté, chaque téléphone, chaque ordinateur, chaque réseau est un point d'entrée potentiel pour une intrusion malveillante ; une mise à niveau générale de la société s'impose. Elle a même déjà commencé.

Former les grands décideurs à la cybersécurité

C'est une grande première qui a eu lieu à l'Ecole militaire le 4 octobre 2018 : le lancement de la première session nationale consacrée à la souveraineté numérique et à la cybersécurité. Un programme de séminaires sur un an adressé à une quarantaine de hauts dirigeants des plus grandes entreprises françaises et des grandes administrations ; la liste des personnes autorisées à s'inscrire a été arrêtée par le Premier ministre. "Nous défendons la souveraineté française en sensibilisant la société civile aux enjeux de sécurité et de défense", explique Jean-Jacques Roche, professeur des Universités à Paris 2 et doyen académique de l'IHEDN, l'Institut des hautes études de la défense nationale, qui propose cette session avec l'INHESJ, l'Institut national des hautes études de la sécurité et de la justice. "Nous travaillons ensemble pour préparer nos auditeurs à mieux appréhender l'univers numérique dans lequel ils travaillent déjà".

"Il s'agit quasiment de prophylaxie informatique", complète Jean-Jacques Roche, "l'ANSSI s'occupe des enjeux actuels et notre rôle est complémentaire en anticipant les évolutions stratégiques de l'avenir ; et il me semble que la plus grande vulnérabilité de notre pays se trouve chez les acteurs privés. C'est pour cette raison que nous mettrons à la disposition de nos auditeurs les principaux acteurs de la cyberdéfense en France aujourd'hui, nous leur ouvrirons des portes qu'ils n'auraient pas pu ouvrir par eux mêmes, que ce soit à l'ANSSI, au Comcyber, chez Orange Systems ou ailleurs". 

A la fin de la formation, étalée sur une vingtaine de jours sur un an, les auditeurs auront ainsi entendu tous les grands décideurs et tous ceux qui font la politique cyber en France, y compris les services de renseignement et les entreprises leader du secteur : "et à côté de ce discours officiel, il y aura aussi un discours critique", ajoute Jean-Jacques Roche, "puisque le propos de nos instituts est de permettre la combinaison de la parole officielle avec une approche critique dispensée par des think-tankers ou des chercheurs indépendants".

L'âge numérique correspond ainsi à une nouvelle façon d'exercer sa souveraineté et à une nouvelle conflictualité. "Aujourd'hui, les grands Etats ne se font plus la guerre à part dans quelques domaines", explique Jean Jacques Roche, "si on prend les chiffres publiés chaque été par la Peace Research scandinave, on voit que les guerres inter-étatiques n'ont causé 'que' 118 morts en 2017, conséquence de la seule guerre actuellement en cours, qui oppose l'Inde au Pakistan. Les Etats ont enfin appris à être raisonnables... Peut-être grâce au nucléaire parce que les hommes savent maintenant qu'ils peuvent se détruire instantanément. On a appris à juguler les grandes guerres inter étatiques."

Mais il y a bien sûr d'autres formes d'affrontements qui sont apparues ! Pour l'instant, les grandes guerres sont sous contrôle mais les Etats ont toujours des hormones en trop et la compétition est toujours là. Simplement, elle s'est déplacée dans de nouveaux domaines qu'on appelle les espaces sans maître : l'espace maritime, l'espace extra-atmosphérique, le monde cyber et les normes. L'amende record qu'avait reçu BNP Paribas de la justice américaine en est un exemple et les menaces des Etats-Unis sur les entreprises qui commercent avec l'Iran en est un autre - Jean-Jacques Roche, doyen académique de l'IHEDN.

"Il y a 20 ans, la cybersécurité n'était pas un sujet, hormis pour quelques experts", renchérit le directeur de l'ANSSI Guillaume Poupard, à l'occasion des assises de la sécurité et des systèmes d'information à Monaco du 10 au 12 octobre, "il y avait peu d'attaques et les systèmes étaient plus simples. Mais aujourd’hui, quand on voit l’ampleur des attaques et les risques encourus par les entreprises et par les entités publiques, on en conclut que ce sujet devient une affaire de décideur. La direction d'une entreprise a le devoir de se préoccuper de sécurité numérique, c’est sa responsabilité. Et au delà des dirigeants, l’ensemble des collaborateurs sont appelés à jouer leur rôle, à prévenir en cas de problème. Aujourd'hui, le numérique est partout avec les objets connectés et le cloud computing. Nous sommes tous confrontés à ces enjeux et cette question de sécurité ne peut être traitée que collectivement et pas seulement par des experts."

Protéger le secteur privé par la réglementation

C'est le deuxième étage de la fusée en matière de cybersécurité : obliger les acteurs à se mettre à niveau afin d'être moins vulnérables. Depuis 2013, la France a commencé à mettre en place une législation pour les cibles les plus sensibles : les OIV (Opérateurs d'intérêt vitaux), qui sont une quarantaine. "Les noms sont secrets mais sans surprise on va les retrouver dans les secteurs de l'énergie, des télécommunications sensibles, de l’industrie", précise Guillaume Poupard, "pour ces acteurs là depuis 2013, on impose de la cybersécurité. Le sujet est trop grave et les attaques ont trop d’impact pour simplement donner des conseils et attendre que les gens finissent par le faire. Notre démarche est donc très proactive. Elle a été menée en France et a beaucoup inspiré l’Europe ; nous sommes d'ailleurs en train de transposer la directive NIS ( Network and Information System Security, "sécurité des réseaux et des systèmes d'information") dans notre droit depuis deux ans. Elle a été fortement inspirée par les exemples français et allemands et nous allons continuer d’étendre ces règles à des acteurs essentiels pour notre société, notre économie."

Après les OIV, il y aura aussi les OSE, Opérateurs de services essentiels, dont la liste doit être finalisée en novembre ; environ 160 entreprises y figurent mais la liste est confidentielle là aussi. "Aujourd’hui, quand une grosse entreprise se fait attaquer, les impacts sont dramatiques", complète Guillaume Poupard, "et pas seulement pour l'entreprise concernée mais également pour l’ensemble de la société. Pour reprendre la main sur les attaquants, on passe par la réglementation, ce qui crée une sorte de coopération forcée : on tend une main qu’on ne s’attend pas à voir refusée. Nous demandons ainsi la mise en œuvre de règles de sécurité, pour protéger les systèmes d’information, identifier ceux qui sont sensibles, détecter les attaques au plus tôt et dans le pire des cas, si une attaque se produit, l’ANSSI a une capacité opérationnelle assez forte pour aller aider ces victimes de manière à limiter les dégâts."

Et les attaques ne sont pas si rares : l'ANSSI en traite régulièrement. "On compte une vingtaine de grosses attaques par an mais elles restent secrètes. Ça n'est pas nous qui allons mettre en avant les victimes qui veulent garder le silence autour de tout ça. Ce qui nous importe, c’est que les attaques soient bien traitées, que les attaquants soient ressortis des systèmes et de limiter les impacts. Dans la plupart des cas, les attaques sont faites dans le but de voler des informations, il s'agit de renseignements. Notre grande crainte concerne les attaques en sabotage et en destruction et là pour le coup on ne peut pas le cacher. L’ANSSI intervient également pour aider les victimes dans ce cas là."

L'exemple le plus connu est celui de Saint Gobain, attaqué en juin 2017 au moment d'une vague d'attaques qui a touché l'Ukraine. "Ils ont été infectés car ils avaient des bouts de réseau dans ce pays", explique Guillaume Poupard, "et donc typiquement, c’est tout l’informatique de Saint Gobain qui du jour au lendemain s’est retrouvé bloqué. On les a aidé à redémarrer, ce qu’ils ont fait de manière remarquable en l’espace de quelques jours. Mais au passage, ils ont perdu quelque chose comme 80 millions de résultats nets... ça chiffre très, très vite. Le directeur des systèmes d'information de Saint Gobain m'a dit que c’était 'un million par heure' dans cette attaque. Pour Saint Gobain, l'histoire se termine bien et l'entreprise accepte de témoigner sur son expérience de manière à pousser les autres à réfléchir, à anticiper le pire pour être bien préparé. Il y a une vraie responsabilité de l'entreprise pour veiller à ce que cela ne reproduise pas".

Pour les aider, le rôle de l'ANSSI est aussi d'indiquer quelles sont les meilleurs solutions de protection. "Nous évaluons les prestataires externes et les produits qu'ils vendent, pour dire qui est compétent et digne de confiance à l’issue de procédures qui sont très fouillées. Nous avons lancé la notion de visas de sécurité : aujourd'hui en 2018, une centaine d’entreprises détiennent un visa ainsi que 500 produits ou prestations, ce qui est considérable. Nous avons un catalogue d’offres qui permet à ceux qui veulent se protéger d’aller trouver de l’aide efficacement dans cet écosystème". Et de ce point de vue, "la France est clairement dans le peloton de tête en terme d’industrie de cybersécurité", d'après Guillaume Poupard, "aux côtés des États-Unis, d'Israël, de l'Allemagne et du Royaume-Uni. Ce premier cercle de pays qui ont très tôt considéré que la cybersécurité était une question de souveraineté et de sécurité nationale avec la conviction qu'il fallait un Etat fort, des victimes potentielles motivées pour se protéger et un secteur industriel capable d’apporter des solutions de confiance."

Impliquer collaborateurs et citoyens

Mais pour arriver à une cyberdéfense nationale efficace, il est aussi nécessaire d'impliquer tous les acteurs, y compris ceux qui ne semblent pas essentiels pris un à un : les petites entreprises, les collaborateurs d'une société et de façon générale tous les citoyens qui utilisent l'Internet dans leur quotidien. "Il va falloir qu'on descende des plus grandes entreprises aux plus petites", déclarait le secrétaire d'Etat au numérique, Mounir Mahjoubi, le 1er octobre à Bercy lors du lancement du mois européen de la cybersécurité, "la priorité absolue consiste à mettre en avant une culture générale des gestes de base. Il y a trois gestes simples pour limiter de façon radicale et massive tous les risques liés aux infections les plus répandues : faire des sauvegardes, mettre à jour son système et utiliser un antivirus. Cela semble extrêmement simple et pourtant, si chaque TPE (très petite entreprise) ou PME (petites et moyennes entreprises) de France le faisait, nous serions beaucoup moins soumis en tant que nation à des diffusions massives de logiciels malveillants type Wannacry, Petya ou Not Petya. D'autres attaques auront lieu et il est donc fondamental de mettre en oeuvre ces actions."

"Autrefois, on considérait que ça n'était pas trop grave : quand une PME tombe, il y en a toujours une autre qui fait la même activité pas trop loin. Mais le problème se pose lorsque 10 000 ou 100 000 PME tombent la même semaine ; dans ce cas là, c'est tout le pays qui serait paralysé. C'est pour cette raison que nous lançons une campagne de sensibilisation à destination des deux millions de TPE PME ce mois-ci avec le soutien de la CPME et des chambres consulaires. Il faut que tout le monde, quand il entend le mot cyber, s'imagine derrière son ordinateur en train de mettre à jour son système d'exploitation en se disant que c'est aussi héroïque pour le pays que d'être en train de résister à une attaque." - Mounir Mahjoubi, secrétaire d'Etat au numérique

Pour ces petits acteurs de l'économie, l'interlocuteur n'est pas l'ANSSI, mais un portail dédié créé en octobre 2017 : cybermalveillance.gouv.fr sur lequel sont expliqués les bons comportements à adopter pour se protéger, ce qu'il faut faire en cas d'attaque ainsi qu'une liste de prestataires de sécurité adaptés aux PME. "Nous sommes là pour défendre nos concitoyens", précise Jérôme Notin, qui dirige ce service, "s’il devait y avoir un grand soir, une vaste attaque, les particuliers et les petites entreprises iraient chez nous pour qu’on les aide, qu’on les mette en contact avec des prestataires de solution de sécurité. Nous sommes un acteur de la résilience de l’état-nation. A travers notre kit, on vise l’utilisateur et le citoyen dans ses usages personnels ou quotidiens afin qu’il comprenne les menaces, qu’il connaisse les conséquences d’un hameçonnage pour son entreprise, par exemple." 

Depuis 2017, le site a recensé environ 1 500 prestataires de proximité. La plateforme propose aussi une procédure à enclencher par les victimes d'attaques : "depuis un an, on est à plus de 22 000 parcours victimes", précise Jérôme Notin, "des gens qui sont venus sur notre plateforme et qui ont potentiellement trouvé de l’aide. Un chiffre en très forte augmentation : le mois dernier, on avait 700 à 800 parcours par semaine et la semaine dernière, plus de 1 000. Pour autant, je ne pense pas qu'il s'agit d'une augmentation de la menace : je suis convaincu que les citoyens et les entreprises nous connaissent de mieux en mieux, c'est un travail de longue haleine, nous sommes un nouveau service public".