« Cybersécurité, quels enjeux et quelles réponses pour votre entreprise ? »

Mesdames, Messieurs,

Permettez-moi tout d’abord de remercier Charles Laye et Christophe Robin qui m’offrent l’occasion d’évoquer devant vous, responsables d’entreprises, un sujet aussi central pour notre société que pour l’institution que je dirige. La cybersécurité n’est plus, en raison des dangers, une question confinée. Les préoccupations ont changé de niveau et de nature. L’Etat et les opérateurs d’importance vitale ne sont pas exclusivement concernés ; les entreprises le sont aussi. Ce qui est désormais possible, ce n’est pas seulement le pillage de données, la captation de brevets, l’espionnage politique ou économique, c’est la possible compromission d’intérêts, la provocation de faillites, de sabotages des processus industriels et de sécurité ─ comme l’illustrent l’affaire Sony et possiblement la coupure du réseau ukrainien ─, la destruction de sites de stockages.

Il y a sept ans, devant l’accroissement prévisible des défis, l’Etat créait l’Agence Nationale de la Sécurité des Systèmes d’Information rattachée au Premier ministre sous l’autorité du SGDSN et actuellement dirigée par Guillaume Poupard. En quelques années, cette agence a connu une croissance spectaculaire qui porte aujourd’hui à plus de 500 le nombre de ses agents. Cet essor atteste de l’importance des questions cyber, mais surtout d’une nouvelle échelle des risques. La cyberdéfense est devenue une problématique clé de nos sociétés, et l’année 2015 en a été la démonstration éclatante par le nombre des attaques qui furent perpétrées.

En janvier, dans le sillage des attentats de Charlie Hebdo, plusieurs milliers de sites internet en « .fr » ont été défigurés.

En avril, la chaine de télévision TV5 monde fut attaquée. Si l’intervention de l’ANSSI a permis de parer au plus pressé, il fallut plusieurs mois pour que la chaîne retrouve un fonctionnement normal. La pérennité de la chaîne a été menacée : pour une chaîne de télévision ne plus diffuser, même quelques minutes, revient à perdre l’ensemble de ses contrats publicitaires ainsi que ses fréquences d’émission qui sont aussitôt récupérées par d’autres chaînes en attente.

En juillet, sur un mode plus léger, mais parfois dramatique pour certains particuliers qui en furent les victimes, la liste des clients du site Ashley Madison et leurs informations personnelles furent divulguées par un groupe de hacker.

A ces quelques exemples devraient en être ajoutés de nombreux autres : Anthem, Hilton, Thales, T-Mobile, United Airlines, le Ministère de la Défense, le Centcom américain… De manière générale, le nombre d’attaques menées au cours de l’année a augmenté de 38% par rapport à 2014.

2015 fut donc une « annus horribilis » en matière d’attaques informatiques. Rassurez-vous, 2016 sera pire…

Elle sera pire, pour plusieurs raisons.

La première parce que la numérisation de la société française ne cesse de s’accélérer. Ordinateurs, smartphone, tablettes : ces objets ont envahi notre quotidien. Le phénomène n’est pas nouveau. Ce qui l’est plus, en revanche, c’est la multiplication à un rythme effréné des appareils connectés. Chaque jour, 70 000 nouveaux objets connectés sont mis en activité en France. A l’échelle mondiale, ce sont plus de 100 milliards d’objets connectés qui devraient être en activité en 2030. Ces instruments révolutionnent nos modes de travail, nos loisirs, notre rapport à la culture ou à la santé. Ils sont devenus indispensables et ils n’épargnent aucun domaine.

Ainsi l’agriculture, à laquelle il est peu courant de penser sur ces questions, est-elle aujourd’hui un des secteurs les plus connectés à travers la multiplication des machines agricoles équipées de dispositifs numériques, des drones, des robots de traite et d’alimentation. Toutes ces machines produisent des données qui peuvent être exploitées par des algorithmes de Big Data afin de gagner en productivité : automatisation de la traite, optimisation de la reproduction, supervision de l’alimentation et de l’état sanitaire…

De même la santé, caractéristique de la faiblesse des préoccupations cyber, constitue-t-elle un secteur particulièrement concerné où la numérisation des données personnelles comme de la production des médicaments sont devenues la norme.

La démultiplication accélérée de ces nouvelles connexions accroît d’autant nos vulnérabilités et les possibilités d’attaques. De la multinationale à la PME, de l’agriculteur à la société de service, du particulier aux structures étatiques et aux opérateurs d’importance vitale, les cibles ─ et donc les risques ─ ne cessent d’augmenter.

Le fait même que ces objets connectés reposent sur une technologie commune accroît par ailleurs d’autant la perspective d’une crise systémique. Il est tout à fait possible que l’exploitation d’une faille de sécurité permette une attaque simultanée de nombreux appareils, ce qui nous oblige par conséquent à penser la cyberdéfense de manière globale et non au cas par cas.

La deuxième raison est l’augmentation du nombre d’attaquants et l’amélioration constante de leur niveau.

Les motifs individuels de se livrer à des cyber-attaques sont effectivement nombreux :

• Le niveau de connaissances requis reste relativement modeste, notamment parce que la défense de la plupart des cibles visées est, elle-même, particulièrement faible. Trop souvent encore, la cybersécurité est conçue comme un coût économique car elle ne génère pas de valeur ajoutée immédiatement perceptible. Il ne viendrait pourtant à l’esprit de personne de stocker ses marchandises en plein air sans le moindre gardien pour les surveiller. Il en va de mêmes pour les données numériques, mais il faut dans ce domaine un changement culturel pour que les entreprises, les administrations et les particuliers prennent conscience de cet enjeu.
• La manne financière à récolter est substantielle, que ce soit à travers le vol de données ou les rançons prélevées par le biais de virus de chiffrement. Nous assistons ainsi à la multiplication des ransomware ─ ou rançongiciel pour les adeptes de la francisation ─ qui chiffrent les données d’un disque dur et en interdisent l’accès au propriétaire sommé de payer une rançon pour obtenir une clé de décryptage.
• Les risques d’être appréhendé sont faibles : d’une part en raison de la difficulté à repérer certaines attaques, d’autres part en raison de la difficulté encore plus grande d’en identifier les auteurs. Ces derniers recourent en effet à des machines zombies disséminées à travers le monde afin de perpétrer leur action. Ils bénéficient par ailleurs de la difficulté que pose toute enquête judiciaire menée à l’échelle mondiale. La coordination et la coopération dans ce domaine restent trop souvent embryonnaires.

Ces différents facteurs incitatifs contribuent à la hausse constante du nombre d’attaquants informatiques. Forts de leurs succès, ces derniers réinvestissent par ailleurs leurs gains afin de renforcer leurs compétences, ce qui accroît d’autant les risques qui pèsent sur les acteurs publics et privés.

La dernière raison réside dans l’instabilité géopolitique à laquelle nous devons faire face.

Il n’est pas besoin d’être grand clerc pour prédire que nous ne nous orientons pas vers l’apaisement des tensions internationales. Le renforcement du fil rouge du terrorisme, qui unit une série de conflit de l’Afghanistan à la Libye et de la Tchétchénie au Mali, l’affirmation militaire de certaines puissances comme la Chine ou la Russie, attestent que les deux principales menaces cernées par le livre blanc de 2013 ─ la menace de la force et le risque de la faiblesse ─ restent plus que jamais d’actualité.

Cette instabilité géopolitique renforce le risque cyber de plusieurs manières :

• Elle rend plus difficile la coopération internationale et l’adoption de normes que le G20 ou le groupe d’experts gouvernementaux de l’ONU s’efforcent de promouvoir. En avril 2015, la 132e assemblée de l’Union interparlementaire invitait ainsi à renforcer la coopération internationale pour lutter contre l’utilisation malveillante des TIC. De même l’OTAN s’est-il consacré à la transposition des règles de droit international dans le domaine cyber, s’attachant notamment à la question de légitime défense. De telles questions ne peuvent cependant être définitivement réglées dans un contexte géopolitique instable ;
• Elle favorise l’essor des groupes de hackers qui bénéficient du soutien direct ou de l’indifférence bienveillante de certains Etats ;
• Elle se traduit par des attaques qui sont directement commanditées par des Etats ou par des groupes armés. Si ces derniers ─ et notamment Daech ─ ne disposent à l’heure actuelle que de capacités limitées. Les savoirs ne sont cependant pas étanches, et la possibilité de transferts de compétences jusque-là détenues par des Etats vers des mouvements paraétatiques est une perspective qui doit être prise en considération. Il existe ainsi un risque de prolifération via des défecteurs similaire à celui déjà présent dans le domaine nucléaire.

Face à ce trend à la hausse des attaques informatiques, que craindre ?

Quatre types de menaces peuvent être schématiquement distingués :

• Les menaces qui visent la réputation ou la confiance. Concernant les particuliers, il s’agit pour l’essentiel de la diffusion de données personnelles plus ou moins compromettantes. Concernant les entreprises ou les administrations, il s’agit de tentatives pour remettre en cause leur fiabilité ou leur image. L’affaire Ashley Madison se situe au croisement de ces deux types d’action.
• Les menaces liées à la cybercriminalité : usurpation d’identité, mise à rançon, fraude bancaire… Ces pratiques constituent aujourd’hui pour certains secteurs une menace particulièrement forte, notamment dans le domaine bancaire où la cybercriminalité est plus à craindre qu’un krach boursier ou qu’un trader malavisé.
• L’espionnage, dont les affaires Snowden et Wikileaks ont révélé l’ampleur aux yeux du grand public. Celui-ci est d’abord l’affaire des Etats, qui pratiquent à qui mieux mieux l’art de l’écoute. Mais il concerne également les entreprises dont les données suscitent les convoitises. Quelques affaires ont à ce titre défrayé la chronique en France, comme AREVA en 2011 ou Thales plus récemment.
• Le sabotage : menace sans doute la plus inquiétante, mais heureusement la plus rare, du moins à ce jour. Ici aussi, les Etats figurent parmi les premiers concernés, comme l’atteste l’exemple du ver informatique Stuxnet, développé pour s’attaquer aux centrifugeuses iraniennes. Mais la plupart des actions restent le fait d’anciens employés désireux, pour une raison ou une autre, de se venger de leur entreprise. Les chaînes d’assemblage des grands groupes industriels constituent à ce titre des cibles particulièrement sensibles.

Que faire pour contrer ces menaces ?

S’il est tentant, parce qu’à première vue moins coûteux, le fatalisme ne doit pas être de mise.

A cet égard, permettez-moi de souligner que si l’année 2016 verra probablement une recrudescence des attaques cybernétiques, elle sera également rythmée par d’importants progrès dans le domaine de la cyberdéfense.

Le premier d’entre eux sera la publication des arrêtés de la loi de programmation militaire de 2013. Vous le savez probablement, l’article 22 de la LPM a prévu l’adoption de mesures de renforcement de la sécurité des opérateurs d’importance vitale. Situés dans 14 domaines stratégiques ─ transport, défense, nucléaire, énergie, etc. ─, ces OIV occupent une place essentielle dans le fonctionnement de la Nation. L’Etat a donc obligé ces entreprises à signaler à l’ANSSI tout incident constaté sur leur système d’information. De même a-t-il donné à l’agence le pouvoir de contrôler leurs systèmes informatiques et de leur imposer des mesures de sécurité.

La définition de mesures à la fois adéquates et financièrement supportables était complexe et demandait une importante concertation, ce qui explique la publication tardive de ces décrets d’application. De fait, ces nouvelles dispositions représenteront d’abord un coût pour les entreprises concernées. Mais elles seront aussi à terme la meilleure garantie de leur sécurité, critère qui tend au demeurant à s’imposer dans les grilles d’évaluation des grands groupes. Soulignons à ce titre que Moody’s intègre désormais la cybersécurité dans sa notation des entreprises.

Le deuxième progrès essentiel sera la transposition de la directive NIS. Récemment adoptée au niveau européen, cette dernière reprend dans une large mesure des dispositions similaires à l’article 22 de la LPM en les généralisant à l’ensemble des Etats de l’Union européenne. Son domaine d’extension est au demeurant plus large, puisqu’il ne concernera pas les seuls OIV, mais tous les opérateurs dits essentiels à l’économie, soit par exemple, les entreprises de la grande distribution.

L’adoption de cette directive est une bonne nouvelle. Elle évitera en effet que les préoccupations françaises en matière de cybersécurité ne « pénalisent » ─ si l’on s’en tient à un point de vue court-termiste ─ nos entreprises. Elle donnera par ailleurs à l’Europe un cadre qui ne tardera pas à s’étendre au niveau international sous la pression des compagnies d’assurance qui ne cessent de renforcer leur exigences en matière des cybersécurité. Les contraintes d’aujourd’hui seront ainsi les normes de demain.

Le dernier progrès notable sera enfin la mise en œuvre des dispositions adoptées dans le cadre de la stratégie nationale du numérique impulsée par le livre blanc sur la défense et la sécurité nationale de 2013 et dévoilée en octobre 2015. Au-delà de la poursuite de notre travail d’accréditation des entreprises et des produits de sécurité, il s’agira en particulier de la mise en place de l’assistance juridique et technique pour les victimes de cybermalveillance, qu’elles soient des entreprises ou des particuliers.

A différents niveaux, l’année 2016 sera ainsi marquée par un renforcement de l’engagement de l’Etat dans le développement d’un espace cybernétique sûr.

Cette action doit se doubler de celle des acteurs économiques qui doivent devenir les premiers agents de leur sécurité.

Vous le savez, atteindre un niveau de sécurité couvrant 100% des risques est une chimère. Mettre en place une défense qui couvre 99% des risques a un coût. L’objectif ne doit donc pas être d’éliminer le risque, chose impossible, mais de le gérer en assurant un équilibre permanent entre la menace et l’investissement consenti pour la prévenir.

Or, contrairement à ce que beaucoup craignent, les mesures de protection les plus efficaces ne sont pas les plus onéreuses. Elles reposent avant tout sur l’acculturation des employés aux bonnes pratiques. La plupart des attaques commencent classiquement par un mail doté d’une pièce jointe piégée. Le premier travail est donc un travail de sensibilisation.

De même certaines mesures de protection de bon sens, mais trop souvent mal respectées, sont-elles à adopter : changement régulier de mots de passe, cloisonnement des réseaux, en évitant notamment que le poste de l’administrateur réseau ne soit connecté à internet… Soulignons à cet égard que Stuxnex utilisait les mots de passe par défaut que Siemens déconseillait de modifier pour ne pas nuire au bon fonctionnement de l’usine.

Au-delà de ces bonnes pratiques, une analyse de risques peut enfin être effectuée en se tournant pour ce faire vers l’un des prestataires homologué par l’ANSSI. Celui-ci est d’autant plus utile que le réseau informatique de l’entreprise est complexe. Il ne faut pas oublier à cet égard que les pirates attaquent rarement le cœur du réseau de manière frontale. Il leur est bien plus aisé de commencer par infester un petit fournisseur situé dans un pays lointain avant de remonter toute la chaîne de connexion. Toute défense doit par conséquent être pensée en profondeur, ce qui constitue sans aucun doute une des principales difficultés de la cyberdéfense.

Les menaces et les risques sont réels et ils ne cessent de se renforcer. Pour les prévenir, l’Etat a fait des choix forts. Celui d’adopter une stratégie nationale du numérique qui fixe des objectifs précis à atteindre dans les années à venir. Celui de créer également une agence, l’ANSSI, qui soit uniquement voué à la défense cybernétique. Cette décision, atypique au regard de la politique menée par nos homologues (en particulier les Américains qui viennent de réformer la NSA afin de renforcer l’interpénétration entre défense et actions offensives), s’inscrit dans la volonté de travailler en confiance avec les entreprises. L’ambition est celle de la coopération et de la coordination, ce qui explique également la décision de faire de l’ANSSI une agence interministérielle placée sous la tutelle du SGDSN. Sa mission est en effet d’agir au service de l’ensemble des administrations et du tissu économique, et non au profit d’un seul ministère. Pour la mener à bien, elle vient d’ailleurs d’entreprendre la première étape de son implantation régionale avec l’ouverture de quatre agences à Rennes, Lille, Lyon et Paris, neuf autres créations devant suivre au cours de l’année 2016.

Cette action de l’Etat doit bien sûr se doubler de celle des agents économiques qui restent les premiers responsables de leur sécurité informatique. Loin de constituer une perte financière, il s’agit là d’un investissement économique de premier plan dont le coût, au demeurant, est parfois bien moins élevé qu’on peut le croire.

C’est à travers cette action concertée que nous pourrons permettre à la France d’entreprendre, sur la nouvelle mer du cyber, un voyage au long cours aussi préservé que possible des pirates de notre temps.