Intervention de Guillaume Poupard

Je ne manquerai pas de présenter les réalisations communes de nos organismes respectifs, dont la coopération se révèle excellente.

Cependant, je commencerai par souligner combien la situation s'avère grave sur ces questions de sécurité informatique. Au quotidien, dans l'ensemble de nos services, nous observons une explosion de la menace. J'évoque ici une menace réalisée, non une menace simplement théorique dont il s'agirait d'anticiper la survenue.

Porteur de vastes promesses du point de vue économique, le cyberespace est devenu le lieu d'une conflictualité aiguë. La criminalité s'y développent.

Il me semble donc nécessaire de traiter le sujet de la cybersécurité comme une priorité. Il rejoint d'autres urgences que nous connaissons actuellement.

Nous peinons à mesurer le nombre exact des victimes. Quelle que soit la méthode que nous retenions, nous en constatons néanmoins, peu ou prou, le quadruplement entre 2019 et 2020. Cette courbe exponentielle se confirme pendant les trois premiers mois de 2021.

Les menaces que nous cherchons à prévenir sont d'abord celles d'une criminalité asymétrique qui s'appuie sur un modèle économique des plus efficaces. Elle consiste à rançonner les victimes, au premier rang desquelles les PME et TPE. Le fort avantage à l'attaque se traduit ici par une vraie difficulté à se défendre. Nous échangerons ce matin sur les solutions à lui opposer. Nous savons qu'elles existent.

Deux autres types de menaces apparaissent, susceptibles de peser sur les PME et TPE.

Il s'agit d'une part de l'espionnage. Certes plutôt circonscrit aux acteurs économiques d'envergure ou stratégiques, dont les États, il concerne également les entreprises de taille modeste qui disposent d'un savoir-faire dans un domaine sensible, tel que celui de la défense. L'espionnage numérique les cible toujours davantage.

D'autre part, nous observons un nombre croissant de victimes collatérales d'actes que je qualifierai d'actes de guerre. Une PME devient rarement la cible directe d'actes de guerre. En revanche, parmi ceux qui les commettent, les plus irréfléchis côtoient les plus précautionneux. Certaines opérations, comme celles qui visèrent l'Ukraine, ont ainsi entraîné des conséquences sur maints acteurs qui n'étaient pas immédiatement en lien avec le conflit qui les avait suscitées.

Devant une situation complexe, nous nous organisons pour porter secours aux victimes. Toutefois, en ma qualité de directeur de l'ANSSI, le message principal que je veux adresser, notamment à l'endroit des PME et TPE, tient à la prévention.

Sans doute le discours de la prévention paraît-il de prime abord moins enthousiasmant que celui de l'action ou de la réaction. Pourtant, en matière de cybersécurité, sans prévention, nous n'obtiendrons aucun résultat décisif.

Aussi séduisante soit-elle, la notion de « bouclier cyber » reste illusoire. Nous ne concevrons pas un tel bouclier qui protège la France et l'Europe des attaques informatiques. Avant toute chose, chacun doit se rendre acteur de sa propre protection. Il convient d'anticiper les questions de cybersécurité, d'éviter autant que possible de devenir les victimes d'attaques aux lourdes conséquences.

Je signalerai une publication récente. En partenariat avec la direction générale des entreprises (DGE) du ministère de l'économie, des finances et de la relance, et l'ACYMA, l'ANSSI a conçu un guide à l'attention des PME-TPE. Il traite de leur cybersécurité en douze questions fondamentales : réalisation de sauvegardes informatiques régulières, utilisation d'un antivirus, sécurisation de la messagerie électronique de l'entreprise, etc.

Si les entrepreneurs n'appliquent pas de telles règles de base, nous resterons condamnés à leur porter secours une fois le préjudice matérialisé. La responsabilité de prévenir les attaques ressortit aussi aux victimes potentielles. L'expression « d'hygiène de la cybersécurité » résume notre pensée : quoi que nous entreprenions par ailleurs, des inconséquences répétées en matière informatique porteront atteinte à la cybersécurité des entreprises.