Intervention de Guillaume Poupard

Je commencerai par vous parler de la menace : en un an, l'usage de l'outil cyber par la grande criminalité organisée pour rançonner ses victimes, s'est considérablement développé, avec toujours le même séquençage : intrusion dans le système informatique, blocage et chantage, l'intrus exigeant parfois des dizaines de millions d'euros pour débloquer les systèmes de l'entreprise. Cette cybercriminalité a fait des progrès considérables, visant désormais précisément des victimes en capacité de payer. L'an dernier, l'ANSSI avait traité 54 attaques par « rançongiciel » ; cette année, nous étions à 128 attaques au 1er septembre, nous aurons donc triplé le nombre de cas en fin d'année, et je ne vois aucune raison pour que le phénomène s'atténue. Les victimes de telles attaques peuvent être très impactées, avec des effets collatéraux importants, en particulier des pertes de données essentielles. Certaines entreprises savent réagir : vous citiez l'attaque contre Sopra Steria, c'est un bon exemple d'une entreprise qui a su limiter les dégâts en éteignant très vite son système, au point que l'attaque n'en a endommagé qu'une petite partie et que l'attaque a échoué - mais l'opinion a retenu que l'entreprise était attaquée, ce qui est une très mauvaise chose pour une entreprise dont la spécialité est la protection informatique.

Cependant, on parvient bien plus rapidement qu'avant à rétablir les systèmes des entreprises touchées : là où il fallait des mois encore des mois, nous parvenons désormais à réparer les systèmes en quelques jours.

Les attaques touchent des secteurs critiques, notamment les hôpitaux, on l'a vu en particulier lors de l'attaque du centre hospitalier universitaire (CHU) de Rouen pour le rançonner - de telles attaques ont lieu aux États-Unis depuis des années et on a vu à Rouen que les conséquences vont bien au-delà de la perte de matériel bureautique puisque l'hôpital perd en ce cas l'imagerie, les analyses biomédicales, jusqu'à son réseau téléphonique. Cet exemple illustre la menace sur laquelle nous travaillons : le numérique est un outil formidable, mais il faut la bloquer, sauf à se mettre dans une situation de grande fragilité. Pendant la crise sanitaire, l'ANSSI n'a pas constaté d'augmentation du nombre d'attaques - pour l'anecdote, je signale que de grands groupes criminels ont publié un communiqué de presse pour dire qu'ils suspendaient les attaques sur les hôpitaux, et on a dénombré qu'une seule attaque contre un hôpital en République tchèque.

Cette menace ne doit pas nous faire oublier les autres, en particulier l'espionnage, qui reste la plus grave des menaces. Dans cette période où le télétravail est encouragé, nous sommes inquiets quant aux brèches qui peuvent être ouvertes, dont on ne se rend compte que trop tard. C'est pourquoi je donne toujours ce conseil : regardez très attentivement quelles portes vous ouvrez dans votre système, pour que n'importe qui ne puisse pas y entrer.

Autre menace, le cyberterrorisme. En réalité, il n'existe pas ; si des groupes terroristes ont su utiliser l'outil numérique, il n'y a pas eu d'attaque terroriste large, qui aurait utilisé l'outil numérique comme arme. Cependant, cela n'empêche pas qu'il faille s'en prémunir, se préparer à une telle attaque par des stratégies de défense.

Enfin, il y a des attaques qui visent à détruire des systèmes d'information, avec une dimension militaire ; sachant que les conflits de demain seront aussi numériques, le numérique sera un espace de conflictualité.

Pour faire face à ces menaces, nous appliquons une stratégie conçue il y a dix ans et consistant à dire que la meilleure défense reste la défense. On ne doit pas se leurrer en imaginant que l'on pourrait se contenter d'une réaction à l'attaque ; en réalité, quand un système numérique est bloqué, on ne peut tout simplement plus réagir. Il faut donc utiliser tous les outils à notre disposition : la prévention bien sûr, en prenant en compte la sécurité dans la conception même des systèmes numériques et dans leur évolution ; la réglementation, également, et nous sommes en pointe en ayant porté la directive européenne qui permet aux États membres d'imposer de la cybersécurité aux opérateurs publics ou privés importants.

Ensuite, notre travail consiste à certifier, à labéliser des prestataires privés, sachant que ce n'est pas le secteur public, ce n'est pas l'État qui va protéger l'ensemble des entreprises qui doivent l'être. Nous réalisons ce travail avec l'audit de sécurité et la détection d'attaques ; nous sommes en pointe en cette matière et tâchons de faire appliquer des règles de précaution à l'échelon européen.

Autre évolution positive, le recul d'une forme de défaitisme sur l'utilité de la justice face à ce type d'attaques : les victimes portent désormais plainte alors que le recours à la justice pouvait paraître une source d'ennuis supplémentaires il y a quelques années ; le Parquet traite les dossiers rapidement, des possibilités d'entraide internationale et de coopération existent, y compris avec les géants du net, qui nous donnent des informations importantes pour mieux comprendre ces attaques. La coopération est excellente avec les services de renseignement et de lutte contre la cybercriminalité, et, d'une manière générale, avec les États, car nous avons un intérêt commun à lutter contre la cybercriminalité.

Enfin, la 5G est un sujet important et sensible. Avec cette nouvelle génération, les réseaux vont devenir plus essentiels encore dans la vie de nos concitoyens et dans notre économie, car les machines vont se connecter, et elles vont échanger bien davantage entre elles, jusqu'au simple automate dans les usines. Aussi, le danger de demain, ce sera qu'on nous éteigne ces réseaux. Cette crainte d'une coupure ou d'un manque de disponibilité de réseaux devenus essentiels à notre existence quotidienne est nouvelle, il faut en tenir compte. Des adversaires ne doivent pas pouvoir nous déconnecter, nous devons garder une maîtrise, nous avons donc besoin d'opérateurs sensibilisés à cette dimension de notre sécurité et d'un regard critique sur le choix des équipements eux-mêmes. La loi du 1er août 2019, en définissant des critères pour le déploiement des antennes 5G, nous permet de répondre au cas par cas, selon les opérateurs et les équipements. Les termes de la loi sont précis : les autorisations sont délivrées par le Gouvernement une fois assurés « le niveau de sécurité des appareils, leurs modalités de déploiement et d'exploitation », mais aussi que l'opérateur et ses sous-traitants échappent à tout acte d'ingérence de la part d'un État non membre de l'Union européenne. Nous pensons donc qu'il ne faut être ni naïf ni hostile par principe : pas de naïveté ni de bashing envers telle ou telle marque. Nous devons définir des règles de sécurité avec les opérateurs et les motiver sur le sujet ; je veux témoigner de ce que nos quatre grands opérateurs mobiles sont très soucieux des questions de sécurité, nous avons une très bonne coopération avec eux, et c'est essentiel pour une 5G sûre dans les cinq à dix ans.