Intervention de Guillaume Poupard

Pourquoi en effet des attaques se portent-elles contre des hôpitaux et des collectivités locales en France ? Plusieurs explications interviennent.

D'autres avant nous ont ouvert la voie à ces attaques, notamment aux États-Unis. Nous savons que des établissements hospitaliers, dont nombre de cliniques privées, y ont, parmi les premiers, payé des rançons. Pour leur part, les communes américaines ont longtemps adopté la même attitude. Elles ont néanmoins fini par se concerter et rendre public un communiqué commun par lequel elles déclaraient leur ferme intention de ne dorénavant plus payer.

Ayons le courage de porter le message que l'intérêt collectif consiste à refuser systématiquement le paiement des rançons et qu'il prévaut sur l'intérêt individuel qui, de prime abord, commande le contraire. En France, un travail de fond doit casser le cercle vicieux du paiement des rançons.

Le message concerne évidemment les victimes mais, au-delà, leur environnement. Nous constatons en effet un jeu trouble de la part de certains assureurs. Certes, au regard des risques en présence, la réaction de ces derniers ne manque pas de rationalité. Pour autant que la loi ne l'interdise pas, le paiement de la rançon leur apparaît bien souvent comme le moindre mal par rapport au préjudice que l'entreprise encourt. D'autres intermédiaires tirent un bénéfice malsain du paiement des rançons. D'aucuns se rémunèrent par exemple en fonction de leur capacité à négocier avec les criminels.

Sauf à mener une lutte décidée contre ces phénomènes, nous laisserons libre cours au développement de la cybercriminalité.

S'agissant de la répartition des compétences en matière d'assistance aux victimes et de dispositif pénal, sans doute gagnerons-nous en effet à en améliorer la lisibilité.

Rappelons aussi quelques fondamentaux. L'enquêteur, policier ou gendarme, ne reçoit ordinairement pas pour mission de réparer le préjudice. Il instruit la plainte en vue d'appréhender les malfaiteurs. Toutefois, dans les cas les plus graves, il arrive que l'ANSSI contribue, par défaut, à réparer le préjudice que des acteurs tant privés que publics ont subi. L'exemple en est suffisamment rare pour que nous le soulignions. Pour la suppléer dans sa tâche, nous encourageons l'essor d'acteurs privés de confiance. Il lui appartiendra certainement, de concert avec le GIP ACYMA, de les certifier.

Nous nous efforçons de concevoir un système qui propose au cas par cas les réponses les mieux adaptées aux victimes. Dans le domaine numérique, une réponse unique, universelle, n'existe pas.

L'ANSSI s'attache plutôt aux acteurs majeurs, qui représentent les intérêts à protéger les plus sensibles. Pour sa part, l'initiative Cybermalvaillance de l'ACYMA apporte une réponse d'ordre générique, des plus utiles aux particuliers et aux TPE.

À l'origine, avec le GIP ACYMA, nous espérions que ce double dispositif embrasserait l'ensemble des situations. Je constate que les deux volets peinent à se rejoindre, non certes faute d'un dialogue ou d'un manque de coopération. Entre eux, un segment apparaît mal couvert. Les acteurs qui s'y trouvent - des ETI, d'importantes collectivités locales, dotées de systèmes d'information déjà développés - s'avèrent d'une dimension trop conséquente pour l'ACYMA, mais insuffisante pour l'ANSSI.

Par conséquent, nous envisageons de financer, dans chacune des régions françaises, la mise en place de centres opérationnels d'alerte et de réaction aux attaques informatiques, dits computer emergency response teams (CERT). En pratique, un CERT correspond à un numéro d'urgence ouvert aux victimes. L'ANSSI en dispose d'un, d'autres existent dans le secteur privé, notamment dans le monde bancaire.

Un ancrage régional de ces CERT nous semble correspondre aux victimes de taille intermédiaire.

Leur modèle économique reste à trouver. Sans doute l'investissement public, notamment à la faveur du plan de relance de l'économie française, devra-t-il se combiner avec des investissements d'origine privée. Les victimes potentielles pourraient être soumises à contribution sous la forme d'un abonnement, afin de bénéficier de l'aide en cas de difficulté.

L'ANSSI dispose d'un budget de 136 millions d'euros. Elle envisage de le répartir pour 60 millions d'euros vers les collectivités locales, sa priorité, pour 25 millions aux hôpitaux, pour environ 30 millions en direction de projets destinés à la sécurisation des administrations. Enfin, elle consacrerait 1 million d'euros par région pour la mise en place des CERT.

Parallèlement, il convient que nous encouragions le développement des prestataires privés : acteurs de l'audit, de la prévention, de la sécurisation des systèmes d'information, de la réponse à incidents, de la détection d'attaques. L'État n'assurera pas seul l'intégralité de la réponse.

Il nous faut en particulier obtenir l'intervention du secteur de l'assurance. Dans ce dessein, nous travaillons en étroite collaboration avec la fédération française de l'assurance (FFA). De toute évidence, l'émergence de l'assurance cyber ne procédera pas d'une simple analogie avec ce qui existe pour d'autres domaines. Le champ informatique se caractérise notamment par des effets systémiques, ainsi que par une séparation moins marquée qu'ailleurs entre la criminalité d'une part, les actes de guerre et le terrorisme d'autre part.

Vous avez posé la question du lien entre l'ANSSI et les services judiciaires.

L'ANSSI ne correspond ni à un service de renseignement, ni à un service offensif, ni à un service d'enquête judiciaire. Ses missions sont précisément celles qui ne relèvent pas de ces services. Elle n'en entretient pas moins des liens avec eux, dans un souci de continuité dans la prise en compte de la dimension cyber.

Vis-à-vis des services judiciaires, le mode opératoire de l'ANSSI consiste à combiner sa mission d'urgence d'assistance aux victimes avec la préservation, autant que possible, des preuves utiles aux enquêtes. Elle travaille notamment en bonne intelligence avec la section J3 du Parquet de Paris. Elle lui apporte son expertise sans, cependant, jamais s'y substituer.

En dernier lieu, je rejoins le constat relatif à la faiblesse des moyens disponibles. Nous ne pouvons passer outre. Je souhaite que nous disposions d'un nombre accru d'enquêteurs, de techniciens, en définitive d'opérationnels plutôt que de chronométreurs.