Intervention de Guillaume Poupard

En effet le volcan n'a pas explosé pour cette fois.

Concernant l'attribution à la Russie, c'est une vraie difficulté, mais nous nous intéressons de près à leurs modes opératoires. Or les différentes attaques récentes (TV5 Monde, Allemagne, DNC...) portent des signatures similaires (codes, serveurs...). Cela ne veut pas dire que l'origine russe soit certaine mais ce faisceau d'indices pointe vers le groupe APT28. Je voudrais noter qu'il est rare que les attaquants signent, ou alors ils émettent de fausses signatures pour faire porter le chapeau à quelqu'un d'autre. Peut-être qu'à l'avenir nous aurons des revendications plus officielles.

Sur la question des machines à voter, je dois admettre que nous n'avons pas regardé la question de près. En 2007 nous nous y sommes intéressés mais il y a immédiatement eu un moratoire sur leur achat. Est-ce que ce type de machine est moins sûr ? On ne sait pas, mais le gros problème est que nous ne pouvons pas recompter les bulletins. Et puis nous sommes embêtés car c'est de la technologie qui date d'avant 2007 et si elles sont connectées à internet il y a toutes les chances qu'elles se fassent détruire. En plus il existe 3 modèles différents, tous construits à l'étranger par des industriels pas très coopératifs... Bref c'est une question délicate sur laquelle nous allons nous pencher.

En ce qui concerne les attaquants français, il y en a peu, et la moyenne d'âge de ceux qui se font attraper est de 14 ans si vous voyez ce que je veux dire. Mais attention certains véhiculent des messages pro-djihadistes et il faut prendre cette question au sérieux. Cependant on voit que les pics d'attaques d'origine française ont lieu durant les weekends prolongés et ciblent les collèges et les lycées...

Sur la dissuasion : c'est un vrai sujet, mais délicat à cause du problème de l'attribution. Mais on voit que les anglo-saxons font déjà un début de dissuasion. Par exemple, 3 jours avant les élections américaines on a vu dans les médias, « de source sûre », la menace que si les élections étaient perturbées, il y aurait des pannes électriques à Saint-Pétersbourg. Je pense que ce n'est pas du bluff et que cela va ressembler de plus en plus à de la dissuasion de grand acteur à grand acteur. Cependant, contre des groupes terroristes, c'est comme menacer d'utiliser la bombe contre eux, cela semble difficile et ne fonctionnerait pas.

Au niveau européen nous suivons de près la question du chiffrement, qui est pour nous très importante. On surveille ce qui va se passer au niveau règlementaire et on pousse nos idées. Par exemple l'interdiction serait absurde car on pénaliserait d'autant ceux que nous voulons protéger. Il faut trouver des moyens plus adaptés de traiter la question.

Sur TV5 Monde : c'est une affaire très importante car c'est le premier acte de sabotage cyber en France. On ne saura jamais avec certitude qui en était l'auteur mais nous avons une vision très claire de ce qui s'est passé : l'assaillant est entré 2 mois avant, avec des méthodes de très haut niveau et il a bien pris soin de tout détruire. TV5 Monde a beaucoup aidé en matière de sensibilisation : les OIV ont pris conscience de leur vulnérabilité. Il faut noter que l'attaquant a essayé de nous orienter sur une fausse piste d'attribution au profit d'un groupe djihadiste, ce qui s'est révélé faux. Je ne crois pas à une menace forte de l'arme informatique de la part de Daech, mais ils peuvent très bien faire appel à des mercenaires de haut niveau qu'ils ne verront jamais, situés à l'autre bout du monde, contactés via le darknet.

Sur la santé : elle fait bien sûr partie des secteurs d'importance vitale. Au niveau industriel d'abord : c'est le premier décret sectoriel à être sorti. Mais il y a également une inquiétude sur les hôpitaux, car ce sont des structures ouvertes, où l'urgence est reine et où, donc, les règles classiques de sécurité ne peuvent pas s'appliquer. Ce sont des cibles qui sont souvent attaquées et rançonnées car ils ont de l'argent et ne peuvent se permettre de dysfonctionner. C'est compliqué d'y faire de la sécurité de haut niveau pour les raisons que j'ai évoquées, car ils ne peuvent pas toucher à leurs matériels (scanners, etc...) : nous avons une tâche immense dans ce domaine.

Je ne suis pas rassurant, mais c'est l'aveu qu'il y a beaucoup à faire. Je le répète nous n'avons pas d'amis dans ce domaine, nous en avons pris « la main dans le sac ». Un bon signe est la prise de conscience des industriels : s'ils ont encore du mal à admettre la gravité de la menace du vol de renseignements économiques (qui a pour moi des vraies conséquences sur la croissance), quand on parle de la sécurité humaine ou des biens c'est différent et on rencontre une vraie adhésion.

Concernant les moyens de l'ANSSI, il faut être reconnaissant : nous avons été gâtés et très favorisés depuis 2009. Cependant nous n'avons pas assez d'experts dans le domaine cyber. D'où nos efforts pour créer des formations, des labels reconnus. C'est un sujet où la vraie richesse est humaine et nous nous battons pour attirer et conserver les talents. Il y a également le sujet de l'évaluation de notre modèle : j'espère que nous aurons une croissance permettant de traiter la diversité des menaces qui vont se poser à l'avenir.