INFOTHEMA

Auteur Sujet: Cybersécurité : «La criminalité de masse se développe»  (Lu 1626 fois)

Animateur

  • Administrator
  • Hero Member
  • *****
  • Messages: 5893
    • Voir le profil
Cybersécurité : «La criminalité de masse se développe»
« le: janvier 04, 2020, 02:32:56 pm »
Par Amaelle Guiton — 2 janvier 2020 à 18:46 / Liberation.fr



Rançongiciels, réseaux 5G, «actes inamicaux»… Le directeur général de l’Agence nationale de la sécurité des systèmes d’information, Guillaume Poupard, revient sur les évolutions de 2019 et les enjeux des années à venir.

Chargée de superviser la protection des réseaux de l’Etat et des entreprises sensibles (les «opérateurs d’importance vitale»), l’Agence nationale de la sécurité des systèmes d’information (Anssi) compte aujourd’hui 600 agents, contre 120 à sa création en 2009. En dix ans, la cybersécurité est devenue, en France comme ailleurs, une préoccupation majeure, à mesure que se succédaient des piratages tour à tour discrets ou spectaculaires. Des attaques informatiques ayant ciblé Airbus via ses sous-traitants, aux rançongiciels (des logiciels qui «cryptent» les données et exigent une rançon pour les déverrouiller) qui ont affecté la société de conseil Altran, la chaîne M6 ou le CHU de Rouen, 2019 n’a pas fait exception. Guillaume Poupard, directeur général de l’Anssi (photo DR), revient pour Libération sur les évolutions et les enjeux à venir.

Que retenez-vous de 2019 en matière de cybersécurité ?

French national cybersecurity agency (Agence Nationale de la securite des systemes d'information) ANSSI head Guillaume Poupard poses at ANSSI headquarters in Paris on September 18, 2019. (Photo by ERIC PIERMONT / AFP)Cette année a vu se concrétiser, en France, deux menaces que nous avions vu venir. D’une part, les attaquants exploitent la complexité des systèmes industriels et les liens de confiance entre certaines entreprises et leurs prestataires pour déjouer les défenses de leurs cibles. Le seul point positif, c’est que cela signifie qu’il est devenu difficile d’attaquer directement ces entreprises. Les efforts de sécurisation commencent à payer, la porte est fermée, mais il reste malheureusement pas mal de fenêtres… Il va donc falloir, au sein de ces écosystèmes industriels, revoir les architectures, resegmenter, recloisonner, y compris en interne.

L’autre phénomène, très visible et qui le sera de plus en plus, c’est le développement d’une menace criminelle de masse, avec notamment les rançongiciels. Ceux-ci ne sont pas nouveaux, mais on voit désormais se développer des groupes criminels très spécialisés, qui ciblent leurs victimes, et peuvent dans le même temps en cibler beaucoup. On l’a vu aux Etats-Unis avec des hôpitaux, des villes, des universités. Cela arrive en France. L’expérience du CHU de Rouen en novembre a été, malheureusement, la réalisation d’un scénario que nous avions anticipé. Cette criminalité massive augmente, et il va falloir être capable d’arrêter ce phénomène.

Des responsables de sécurité informatique d’autres établissements de santé se sont plaints d’un manque d’information, selon le Monde. Il y a eu du retard à l’allumage ?

Il y a à peu près 3 000 établissements de santé en France. Tous ne sont pas en capacité d’utiliser efficacement l’information technique que nous pouvons fournir… Les CHU qui sont opérateurs d’importance vitale ou opérateurs de services essentiels [statut créé par la directive européenne de 2016 sur la sécurité des réseaux, ndlr], soit une quarantaine d’établissements, ont reçu l’information très vite. Je ne suis pas certain que tous étaient capables de l’absorber : une fois que nous avons transmis les «marqueurs» permettant de détecter une menace, encore faut-il qu’ils soient outillés pour la chercher. Quant aux autres, il y en a qui ne sont absolument pas prêts. Si certains ont râlé, c’est sans doute que la démarche de communication a un peu tardé. Après chaque crise, on procède à un retour d’expérience, on s’améliore, en travaillant notamment sur la coordination entre l’Anssi et les équipes ministérielles concernées. Il faut par ailleurs souligner que le CHU de Rouen a redémarré en trois jours : cela montre qu’une victime, même quand elle n’a pas les moyens d’être au «top niveau» en matière de sécurité, peut énormément réduire l’impact d’une attaque par de la préparation. C’est cela que nous cherchons à propager chez d’autres acteurs.

Qu’en est-il des menaces informatiques qui ne sont pas aussi visibles ?

L’espionnage reste une vraie menace, de niveau stratégique - une manière polie de dire qu’elle émane des grands Etats - et qui est devenue très discrète : on ne voit plus beaucoup de pays qui font peu d’efforts pour se cacher. Elle est aussi plus ciblée pour certains, qui avaient tendance à attraper tout ce qu’ils pouvaient et à traiter après. L’autre type de menace, qui a commencé à nous inquiéter en 2016, ce sont les attaques à des fins de déstabilisation. Cette menace-là, on va apprendre à vivre avec. Ce qui veut dire, d’une part, avoir un dialogue franc et direct, pas forcément public, avec les gens qu’on soupçonne d’être à l’origine de ces attaques ; et d’autre part, sensibiliser les cibles potentielles, les équipes de campagne, les candidats, leur entourage… Cela n’empêchera pas les attaques, mais si nous faisons bien notre travail de sensibilisation, cela fera évoluer les manières de travailler. Elever le coût des attaques et signifier que ce sont des actes inamicaux, ce n’est pas magique, mais ça a quand même un certain impact.

Le dernier risque, qui reste la menace majeure prise en compte par l’Anssi au titre de la sécurité nationale, ce sont les risques de sabotage sur les systèmes industriels, les objets connectés… Des secteurs comme le transport, l’énergie, les télécoms seront ciblés par certaines attaques. Il y a un nouvel espace de conflictualité, avec des règles qui restent encore à clarifier et appliquer véritablement. D’autant qu’il peut y avoir des effets directs, mais aussi des effets collatéraux.

A propos d’«actes inamicaux», deux chercheurs de Google ont présenté le mois dernier, dans une conférence, des travaux qui font remonter les piratages d’En marche en 2017 à deux groupes soupçonnés d’être des unités du renseignement militaire russe. Qu’en pensez-vous ?

Je ne suis pas très surpris… Après, dans le détail, c’est judiciarisé, c’est un sujet difficile à aborder. Le gros problème, dans de telles situations, c’est que les cibles sont faciles à toucher par des techniques très génériques. Du hameçonnage, du vol d’identifiants et de mots de passe, cela peut être mené par n’importe qui. En l’espèce, cela semble pointer vers des structures très sérieuses, mais en Allemagne, dans une affaire de publication de données sur des responsables politiques [en janvier 2019, ndlr], au final il s’agissait d’un étudiant… Je resterai toujours très prudent. Attribuer ce type d’attaque «à chaud», c’est très compliqué. L’attribution «à froid», sur du temps long, on y arrive de plus en plus, mais avec toujours un risque d’erreur. In fine, c’est une décision politique, prise sur la base d’éléments apportés par différentes entités. Avec une question essentielle, qui est : que fait-on d’une telle attribution ? Est-elle rendue publique, transmise à la justice, traitée dans un canal confidentiel ? C’est là qu’on entre dans de la stratégie nationale, pour savoir ce qu’on fait de ce genre d’information.

Contrairement à beaucoup de ses alliés, la France n’attribue pas publiquement les cyberattaques. Sauf rares exceptions : en janvier 2019, la ministre des Armées, Florence Parly, a accusé un groupe russophone d’avoir tenté d’accéder aux boîtes mail de cadres de la défense…

La France est parfois critiquée par ses alliés sur ce sujet. La question, c’est celle de l’efficacité. C’est un savant dosage entre de la dissuasion, de la diplomatie, de la discussion franche… Là-dedans, une part d’attribution publique, à l’image de ce qu’a fait la ministre des Armées, a tout à fait sa place. Mais nous ne voulons pas que ces questions-là nous soient dictées, y compris par nos alliés les plus proches : c’est un domaine de souveraineté nationale. Ce qui ne s’oppose pas à la solidarité, ni à la volonté d’avoir une démarche cohérente. Les attributions collectives ont certainement plus de poids, et mon intuition est que la France participera, dans un avenir proche, à de telles attributions. Mais il faudra que nous soyons sûrs de nous. La difficulté, c’est le temps : le temps de comprendre, et que chacun fasse son métier d’analyse, d’enquête, de renseignement.

Où en est-on aujourd’hui avec l’équipementier chinois Huawei, mis à l’index par les Etats-Unis ?

Il n’y a pas de problème Huawei, il y a un problème «sécurité de la 5G» : j’insiste là-dessus. En France, depuis toujours, les opérateurs télécoms sont considérés comme des acteurs critiques. Jusqu’ici, la menace était celle de l’espionnage. Avec la 5G, c’est le fonctionnement même des réseaux qui est en jeu, car ils vont être essentiels pour la bonne marche de l’industrie, les objets connectés, etc. Cela va devenir aussi critique que la fourniture d’électricité. Notre conviction, c’est que l’Etat a un rôle à jouer, pour contrôler la sécurisation de ces systèmes. La deuxième chose, c’est que les opérateurs doivent maîtriser leurs réseaux : on peut prendre les équipements de n’importe qui, si le travail de sécurité est mal fait, le résultat sera mauvais.

Enfin, mais c’est bien dans cet ordre-là qu’il faut prendre les choses, il y a des parties de réseau et des équipements plus sensibles que d’autres, sur lesquels nous voulons avoir un droit de regard sur ce qui est déployé, et où. D’où l’intérêt du mécanisme d’autorisation de la loi du 1er août [sur l’exploitation des réseaux radioélectriques mobiles], et d’une discussion étroite avec les opérateurs. Ce que nous voulons, c’est une démarche de souveraineté qui, aujourd’hui, ne bannit pas Huawei du marché français. L’étape suivante, qui a déjà largement commencé, c’est la démarche européenne. Les Etats membres ont publié une analyse de risque commune en octobre, et une «boîte à outils», détaillant les leviers qui peuvent être mis en œuvre pour garder la maîtrise des réseaux 5G, est en préparation. Cette démarche européenne, c’était ce qui manquait, et c’est ce qui fonctionne le mieux, parce que les Etats membres se sentent un peu petits dans cet affrontement entre les Etats-Unis et la Chine.

La France est-elle aujourd’hui à un niveau satisfaisant en matière de cybersécurité ? Que reste-t-il à faire ?

Au plan national, je pense que nous avançons à une bonne vitesse. Les acteurs les plus sensibles sont actifs, nous sommes en train de mettre en œuvre une sécurité qui s’appuie sur une analyse de risques digne de ce nom, avec des efforts budgétaires et humains. Il reste encore beaucoup à faire, mais c’est enclenché. Pour ce qui est des PME, des petits acteurs, des collectivités locales, je suis plus pessimiste, tant sur la prise de conscience que sur la capacité à sécuriser…

L’autre aspect, c’est qu’il est indispensable d’agir à l’échelle européenne. Sans occulter la souveraineté nationale, mais avec une conscience et des démarches collectives. La prise de conscience est là, reste à la mettre en musique. Pour moi, 2020 sera l’année de l’Europe pour la cybersécurité. C’est là où nous allons mettre énormément d’efforts, et où nous pourrons avoir un effet de démultiplication par rapport à ce que nous pouvons faire au plan national.
Membre de l'APRIL (www.april.org) / Membre du bureau Association "Debian Facile"  (https://debian-facile.org)