Intervention de Guillaume Poupard

Le risque cyber est difficile à appréhender, en particulier parce qu'il évolue très vite. La presse s'en fait l'écho. Pas plus tard qu'hier WhatsApp annonçait des risques justifiant une demande à ses usagers de mettre à jour leur logiciel. Pendant la nuit, nos collègues américains ont dévoilé une vulnérabilité des microprocesseurs utilisés dans tous nos ordinateurs.

Selon nous il existe trois types de risques.

Le premier est proprement criminel et connaît un développement inquiétant. Il s'agit de groupes criminels très organisés et disposant de fortes compétences qui ciblent une entreprise particulière non pas tant pour voler ses données que pour la paralyser et demander une rançon. N'importe quelle entreprise et d'ailleurs n'importe qui est nécessairement très sensible à ce genre d'attaques qui peuvent entraîner de très lourdes pertes. La complexité de ces attaques tient au fait que les agresseurs sont très mobiles : ils peuvent facilement passer d'une cible à une autre en fonction de l'issue de leurs attaques. Or, trouver de nouvelles victimes est très facile d'autant que les victimes vulnérables demeurent nombreuses.

Le deuxième type d'attaque est également connu : le vol des données, qui peut être le fait de groupes criminels comme d'États. Les données, c'est le nouvel or noir. Cela peut toucher n'importe qui. Ces deux catégories de menaces peuvent aussi viser le secteur financier, qui mobilise des données sensibles.

Cependant, ce qui constitue une très forte inquiétude pour l'Agence nationale de la sécurité des systèmes d'information, qui est, je le rappelle, rattachée au secrétariat général de la défense et de la sécurité nationale, c'est la perspective d'actes de guerre. Dans nos échanges avec les institutions financières, cette dimension est désormais pleinement prise en compte à côté de celles, plus naturellement sensibles pour elles, que j'ai mentionnées. Dans les scénarios que nous nous efforçons d'anticiper, c'est bien l'éventualité d'agressions visant à créer une sorte de chaos que nous prenons particulièrement en cause. Il est essentiel de prendre en compte ce risque pour bâtir une défense appropriée.

Bien sûr, pour être complet sur les menaces, il faut évoquer le risque d'atteinte à nos processus démocratiques, mais ce n'est pas le sujet de cette audition. Cela peut atteindre la sécurité du vote ou celle des équipes de campagne...Nous sommes vigilants lors de chaque campagne électorale. La lutte est compliquée ; il n'y a pas de trucs et astuces imparables. Pour être efficace, tous les acteurs doivent être mobilisés. C'est une approche qui doit être collective. Au demeurant, je connais tous les intervenants réunis ici aujourd'hui. Dès 2013, à l'Agence nationale de la sécurité des systèmes d'information, nous avons pris conscience que si le conseil importait, il ne suffisait pas. Il est nécessaire d'imposer aux opérateurs d'importance vitale, parmi lesquels figurent les banques de grande taille, des mesures coercitives. Il existe donc un certain nombre d'obligations : mettre en place des systèmes de sécurité informatique, appliquer certaines normes, notifier les attaques à l'Agence nationale de la sécurité des systèmes d'information ...Cela a suscité une réelle dynamique dans le secteur financier notamment avec les banques, mais aussi des acteurs du système comme l'Autorité de contrôle prudentiel et de résolution (ACPR), l'Autorité des marchés financiers (AMF) ou la Banque de France. Nous avions développé trois axes stratégiques : la prévention, la détection et la réaction. Nous avons ainsi enclenché le développement d'un écosystème en mesure d'apporter sa contribution indispensable et nous sommes conduits à l'Agence nationale de la sécurité des systèmes d'information à qualifier ces intervenants.

Je conclurai mon propos sur un dernier point : bien entendu, le défi est international, les systèmes informatiques étant transnationaux. C'est pourquoi nous poussons au développement d'une coopération internationale, que ce soit dans le cadre du G7 comme vous l'avez mentionné, de l'Union européenne, qui a adopté une directive, la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information (ou NIS pour network and information system security) inspirée par la France et l'Allemagne et transposée dans notre droit interne l'an dernier. Mais c'est plus largement au niveau planétaire qu'il faut intervenir.