Bouclier contre les cybermenaces en France, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) va bénéficier dans le cadre du plan de Relance de 136 millions d'euros sur la période 2021-2022 pour accélérer la stratégie nationale française en matière de cybersécurité. Cette enveloppe financière va notamment servir à l'ANSSI à apporter "un accompagnement à un certain nombre de structures qui sont particulièrement exposées et qui ont besoin d'être accompagnées en amont pour anticiper tout risque d'attaque. Parmi ces structures, le secteur de la santé et bien évidemment les collectivités territoriales", explique l'Élysée. Car les attaques dans le domaine de la santé ont représenté 11% des attaques mondiales en 2020. Et les cyberattaques de Dax et de Villefranche-sur-Saône confirment encore plus l'importance de prendre l'enjeu de la cybersécurité très au sérieux.
"L'objectif des 136 millions d'euros gérés par l'ANSSI est d'élever de manière durable le niveau de sécurité d'acteurs publics au sens large", estime le directeur général de l'ANSSI Guillaume Poupard.
"Cela fait des années que l'État et ses services ont pris cette menace extrêmement au sérieux", souligne d'ailleurs l'Élysée. Ainsi, entre 2017 et fin 2021, les effectifs de l'ANSSI vont augmenter de 40% passant de 400 à 560. Mais, en même temps, le nombre de cyberattaques traitées par l'ANSSI a pratiquement été multiplié par quatre, passant de 54 à 192 entre 2019 et 2020. Ce qui pose le problème des ressources humaines : "est-ce que la courbe de croissance du nombre de personnes formées est suffisante vis-à-vis de la courbe de croissance de la demande qui est au moins aussi forte", interroge Guillaume Poupard. A Dax, par exemple, l'ANSSI a réussi à envoyer une équipe de sept personnes à l'hôpital. "On arrive à traiter un sujet de ce type. Mais la difficulté est d'en traiter beaucoup à la fois, si ces incidents se multiplient", estime Rémy Bouju de l'ANSSI, présent à l'hôpital de Dax.
Des succès contre des groupes de cybercriminels
En dépit de moyens qui ne sont pas encore au niveau des enjeux, la France dans le cadre de coalitions internationales, obtient toutefois des succès probants. Elle a été très impliquée dans deux opérations internationales qui se sont achevées récemment par le démantèlement de groupes de cybercriminels responsables d'attaques en France et des arrestations en Ukraine. C'est donc le cas du réseau Emotet, l'un des plus dangereux programmes de cybercriminalité au monde, qui a été démantelé fin janvier. L'opération, menée par des enquêteurs des Pays-Bas, d'Ukraine, de Lituanie, de France, d'Angleterre, du Canada et des Etats-Unis, a été coordonnée par Europol. Les actes commis à l'aide d'Emotet ont causé des dommages estimés à 14,5 millions d'euros au moins en Allemagne, selon les forces de l'ordre.
Autre succès, l'arrestation de membres du groupe de rançongiciel Egregor qui a frappé entre autres ces derniers mois le groupe de presse Ouest-France, le transporteur Gefco ou le géant du jeu vidéo Ubisoft. Cette opération internationale, impliquant des policiers français et ukrainiens ainsi que le FBI, a mis un "coup d'arrêt" à la diffusion d'un rançongiciel baptisé "Egregor", selon la police. Selon cette enquête, au moins 150 entreprises ont été attaquées, principalement aux Etats-Unis et en Europe, pour des pertes estimées à environ 66 millions d'euros. Le groupe pratiquait la technique de la "double extorsion" : d'une part le chiffrement et le vol des données de l'entreprise ciblée, d'autre part la menace de publication de ces données compromises sur un site web si la société refusait de payer une rançon en bitcoins, la plus célèbre des monnaies virtuelles.
"Ces deux très beaux succès sur des groupes qu'on appelle Emotet et Egregor ne sont pas les premiers, mais presque. Ce sont des criminels en activité qui ont été débusqués là où ils se trouvent grâce à la coopération internationale au niveau judiciaire. Et ça, cela doit être salué parce que c'est quand même un tournant historique. Évidemment, cela redonne le moral à tous les défenseurs", note Guillaume Poupard.
Des groupes difficiles à aller chercher
D'une manière générale, Guillaume Poupard estime qu'il "n'y pas tant que ça de groupes qui attaquent, tout au plus qu'une dizaine, qui fonctionnent comme une nébuleuse avec des personnes qui s'affilient à ces réseaux, via le darknet". Des attaquants qui restent difficiles à arrêter car "très mobiles" au sein de petites structures, qui ont juste besoin de quelques ordinateurs et de choisir les pays ou des zones de non-droit d'où ils peuvent frapper. "Ils sont bien au chaud à des endroits où ils sont durs à aller attraper", souligne le patron de l'ANSSI.
D'autant que "certains pays ne font pas forcément tous les efforts nécessaires pour chasser ces criminels, et notamment, n'ont pas signé la convention de Budapest sur l'entraide judiciaire, rappelle-t-il. Ma conviction, c'est que ça n'aura qu'un temps parce que finalement, ces criminels ne profitent à personne. Ce sont des stratégies de court terme de chercher à les protéger". Comment les débusquer ? Dans les années à venir, "on va avoir vraiment un développement de la coopération pour chasser les criminels, estime Guillaume Poupard. Quand on aura réussi à faire changer un peu la peur de camp concernant ces criminels, qui lancent des attaques comme celles contre les hôpitaux, on aura fait un très réel progrès".
Renforcement de la protection
136 millions d'euros pour l'ANSSI, c'est à la fois beaucoup et peu. Car il reste encore beaucoup de chantiers à lancer dans le domaine de la cybersécurité, notamment la sensibilisation à la cybermenace. L'ANSSI va en profiter pour financer une partie des diagnostics de sécurité et des audits, qui vont être réalisés par des prestataires locaux agréés par l'Agence pour le compte notamment des collectivités territoriales, des hôpitaux, mais également de l'administration centrale. "L'idée est de faire prendre conscience du niveau réel de la sécurité pour ensuite définir un plan d'action, explique Guillaume Poupard. C'est un premier point important". Cette prise de conscience "est relativement nouvelle", estime-t-il. Ensuite, ces entités publiques devront mettre des experts pour sécuriser toute la chaîne numérique.
"La priorité est clairement de faire évoluer les pratiques puisque les risques évoluent extrêmement vite, estime Guillaume Poupard. "Ce dont on parle aujourd'hui, on n'en parlait pas il y a encore quelques années. Le fait d'intégrer les questions de sécurité dans la gouvernance, que ce soit dans les hôpitaux ou dans l'ensemble des structures, est une priorité".
L'ANSSI va également développer des moyens de détection d'attaque. "On a aujourd'hui des progrès à faire collectivement pour détecter au plus tôt les attaques informatiques", estime le patron de l'ANSSI. Elle veut également créer des CERT (Computer Emergency Response Team) régionaux, des structures d'urgence qui faciliteraient une action rapide en cas de cyberattaque. Clairement des pompiers numériques régionaux. Ces structures "fonctionneraient en réseau, très connectées à l'ANSSI et pourraient être une sorte de numéro d'urgence à appeler par les victimes pour avoir une action locale pour leur porter assistance", explique Guillaume Poupard. La création de ces CERT va permettre de soulager l'ANSSI à Paris, qui est parfois trop loin du point d'attaque. La défense continue de se resserrer.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés