Intervention de Guillaume Poupard

Le numérique innerve l'ensemble de notre société et des attaquants de nature très différente tentent d'en tirer parti. Ainsi, de nombreux petits criminels profitent de la crise pour escroquer nos concitoyens, profitant du fait que beaucoup utilisent désormais des outils numériques. Le nombre des mails malveillants et des escroqueries sur le thème de la crise sanitaire a explosé. La lutte contre cette petite criminalité sans effet majeur sur la sécurité nationale passe par la prévention et la pédagogie en direction du grand public. C'est le rôle du groupement d'intérêt public ACYMA, qui développe la plateforme cybermalveillance.gouv.fr sur laquelle figurent des conseils élémentaires mais indispensables ainsi qu'un moyen d'accéder facilement à tout un écosystème de prestataires privés à même d'aider les victimes.

Les rançongiciels, ou ransomwares, nous préoccupent davantage. Pour arnaquer de grandes structures ou de grandes entreprises disposant de moyens importants, des groupes cybercriminels très organisés pénètrent les réseaux de leurs victimes, chiffrent des données pour les rendre inaccessibles afin d'exiger des rançons dont le montant va croissant et se chiffre parfois en millions d'euros. Difficiles à appréhender, la parade face à ces attaques consiste essentiellement à élever des protections pour éviter qu'ils atteignent le cœur des réseaux. Une nouvelle tendance, particulièrement originale et préoccupante, voient ces groupes, ne pas se contenter de bloquer l'accès aux données mais également les voler pour menacer de les publier et ainsi faire chanter leurs victimes.

Ainsi, depuis le début de l'année, nous collaborons avec Bouygues Construction qui a été victime d'une telle attaque. Plus tôt, en novembre 2019, le CHU de Rouen a également été touché par une cyberattaque par rançongiciel, obligeant les personnels soignants à travailler plusieurs jours sans aucun outil numérique. Cela montre que les établissements de santé, aujourd'hui fortement numérisés avec des moyens bureautiques mais également équipements professionnels tels que du matériel d'imagerie et d'analyse biomédicales, peuvent être la cible d'attaquants sans aucune éthique. Enfin, les collectivités locales sont également des victimes de choix : la communauté de communes de Marseille a par exemple été touchée la veille du premier tour des élections municipales, entraînant le dysfonctionnement de nombreuses applications. Seul le travail formidable du personnel a permis la tenue du scrutin dans des conditions normales.

Contrairement à nos craintes, de telles attaques ne se sont pas multipliées pendant la crise. Les petits attaquants ont continué leurs actions – le site de Lomagne a par exemple été touché comme vous le rappeliez – mais aucune vague massive sur les CHU n'a été observée. Étonnamment, certains des cyberattaquants les plus connus ont publié un communiqué indiquant qu'ils ne s'en prendraient plus aux établissements hospitaliers durant la crise sanitaire, et ils s'y sont tenus.

D'autres attaques sont lancées par des États ou des groupes dont on soupçonne qu'ils sont liés à des États. Il n'est pas absurde d'imaginer aujourd'hui que ce type d'attaques vise notamment un sujet aussi stratégique que la recherche mondiale sur le vaccin ainsi que l'organisation des États pour assurer la continuité des fonctions critiques. Les industries pharmaceutiques et les instituts de recherche sont des cibles de choix pour les grands services de renseignement. Il est important de se rappeler que nous n'avons pas d'amis dans ce domaine et que nous pouvons donc être ciblés par nos alliés comme par nos ennemis.

Nous sommes également très attentifs aux attaques numériques visant le fonctionnement physique de systèmes à des fins de sabotage mais, depuis le début de la crise, leur nombre a plutôt décru. Les instigateurs ont-ils autre chose à faire ou se sont-ils rabattus vers des opérations d'espionnage, l'heure n'étant pas à la provocation diplomatique ? Il est trop tôt pour le dire.

Le développement du télétravail par des outils non maîtrisés a par ailleurs généré de nouveaux risques majeurs. Les outils de visioconférence non européens tels que Zoom par exemple, peu sécurisés et régis par des réglementations non-européennes comme le Cloud Act, sont inadaptés aux échanges sensibles. La crise aura eu pour effet de forcer de nombreux collaborateurs à travailler à distance avec des outils plus ou moins adaptés. Il est encore trop tôt pour tirer totalement les enseignements de cette crise mais il est déjà certain qu'il ne faudra pas attendre la prochaine pour développer des outils d'un niveau de sécurité raisonnable et relevant du seul droit européen.

Dans son rôle d'autorité nationale de sécurité des systèmes d'information, l'ANSSI s'est intéressée à la cybersécurité de tous les projets relatifs à la gestion de la crise sanitaire. INRIA s'est vu confier le développement de l'application StopCovid. J'ai déjà indiqué devant l'office parlementaire d'évaluation des choix scientifiques et technologiques que le développement de ce genre d'outil, lié à une situation de crise, devait être opéré avec sérieux et esprit de responsabilité. Dévoyée par l'État ou par des attaquants, une telle application pourrait avoir des conséquences dramatiques.

La coopération avec INRIA et plusieurs industriels rassemblés dans un consortium a été exemplaire. Les recommandations en matière de sécurité issues de la Commission nationale de l'informatique et des libertés (CNIL) et du Conseil national du numérique ont été suivies par les développeurs avec soin. Confier le pilotage du projet StopCovid à l'institut qui compte les meilleurs experts français en matière de sécurité et de protection de la vie privée était rassurant. Le lancement de l'application est sur le point d'être débattu par l'Assemblée nationale et le Sénat. Un tel dispositif, s'il fait sens, doit rester exceptionnel, transparent et très encadré.

Notons par ailleurs que des acteurs privés sont tentés de faire ce travail à la place de l'État. Nous avons eu d'intéressants débats avec Apple et Google pour définir le rôle de chacun. Ces géants du numérique, engagés dans un développement commercial à tout-va, cherchent bien naturellement à pousser leur avantage. À l'État de dire que ce sujet régalien ne concerne pas les acteurs privés. S'il ne s'y oppose pas, les géants développeront encore leurs compétences et leurs services dans le domaine de la santé, avec des intérêts divergents par rapport au modèle défendu par l'État. D'autres projets sécuritaires plus lourds, tels que les systèmes non anonymes de gestion de l'épidémie et des malades, qui collectent les résultats des tests et outillent les brigades d'enquêtes sanitaires nous ont également occupés. Faute de sécurisation adéquate, des attaquants chercheront immanquablement à voler ces données médicales de valeur. En 2018, Singapour a ainsi été victime d'une telle attaque. Les données de santé d'une majorité de la population singapourienne ont été dérobées. Cela a également eu un impact politique puisque le premier dossier médical dérobé était celui du Premier ministre. Un autre exemple similaire est celui de la Norvège où les données de santé de la moitié de la population ont également été volées.

Des questions de souveraineté interviennent dans notre capacité à gérer des données et à organiser la crise. C'est pourquoi l'État et des industriels français ou européens coopèrent actuellement en vue de développer des systèmes capables de traiter massivement des données sans recourir à des industriels américains comme Palantir. Nous avons montré que nous savions développer des technologies souveraines, maîtrisées, de confiance, avec des acteurs industriels accoutumés à travailler avec le ministère des armées et la direction générale de l'armement (DGA), acteurs auxquels seul s'applique le droit français et européen.

Au 1er juillet sera créé l'opérateur des systèmes d'information interministériels classifiés (OSIIC), issu de la fusion de la sous-direction numérique de l'ANSSI, qui développe des systèmes très sécurisés au profit de l'administration et des plus hautes autorités de l'État, avec le centre de transmissions gouvernemental, en charge des communications des plus hautes autorités. Cette évolution très positive permettra à cet opérateur de se concentrer en tous lieux et en tout temps sur la sécurité des outils et sur l'aspect opérationnel des communications les plus sensibles de nos autorités, et à l'ANSSI de se concentrer sur les questions de cybersécurité et de cyberdéfense tout en préservant une forte proximité entre les deux entités.

Malgré la baisse d'effectifs immédiate liée à cette fusion, la croissance de l'ANSSI reste ambitieuse. Elle est ainsi passée de 100 personnels lors de sa création, il y a dix ans, à 600. Les gouvernements successifs ont permis à l'ANSSI de croître afin de développer un dispositif de cybersécurité robuste et performant en coopération avec les différents partenaires nationaux. Nous avons formalisé une coopération étroite avec les grands services de l'État qui font du cyber. Sous la présidence de la secrétaire générale de la défense et de la sécurité nationale, le centre de coordination des crises cyber, dit C4, se réunit tous les mois pour traiter d'enjeux cyber avec les ministères concernés. Le sujet est également régulièrement traité en conseil de défense et de sécurité nationale afin d'effectuer les principaux arbitrages en matière de stratégie et de doctrine et ainsi permettre la bonne coordination des actions des services de l'État dans ce domaine. L'ANSSI, dont l'action est purement défensive, joue pleinement un rôle de coordination interministérielle. Bien qu'armés face à ces menaces croissantes, nous restons toujours modestes sachant que, dans ce domaine, l'avantage reste à l'attaque.