Intervention de Guillaume Poupard

L'application StopCovid pourrait faire craindre un risque de dérive vers une surveillance de masse, alors qu'il s'agit d'une application minimaliste, pseudonymisée, qui ne traite que les données strictement nécessaires. Dans le même temps, il ne faudrait pas que certains puissent reconstituer les réseaux d'interaction sociale, afin de savoir qui croise qui et d'obtenir des données relevant de la vie privée. L'objet du développement du protocole et de son implémentation était de minimiser la surface d'attaque et d'en garantir la sécurité. Les points de fragilité au sein de l'architecture ont été réduits et des audits ont été réalisés. Le fonctionnement de l'application et du système est ouvert et publié par INRIA. Nous lançons un « bug bounty », c'est-à-dire que nous demandons à la communauté des hackers d'éprouver par eux-mêmes le niveau de sécurité. En suivant les recommandations de l'ANSSI, de la CNIL et des experts, tout aura été fait pour minimiser les risques et maximiser l'intérêt de l'usage de cette application. Cela étant, le traçage des contacts ne doit pas devenir une activité normale hors temps de crise.

Il n'y a pas eu de front européen pour une stratégie unique. Les discussions ont été sabotées par certains pour empêcher une entente des États membres. Après avoir envisagé un modèle similaire au nôtre, l'Allemagne a changé d'avis et je n'exclus pas qu'elle change de nouveau. La stratégie de la France n'exclut pas les GAFAM, puisque cette application fonctionne grâce à des systèmes d'exploitation Apple et Google (Android). En revanche, la France a fait le choix résolu de ne pas confier aux GAFAM la santé de ses concitoyens. Nous ne devons pas nous décharger sur ces entreprises privées américaines des responsabilités régaliennes de la santé publique, du suivi épidémiologique ou de choix stratégiques pour la gestion de la crise sanitaire. Force est de constater que l'absence de coordination européenne empêchera de fait l'échange de données, les systèmes étant incompatibles.

StopCovid, médiatiquement visible, ne doit pas être l'arbre qui cache la forêt des systèmes plus critiques par nature non anonymisables et contenant un très grand nombre d'informations. Il est indispensable d'assurer la sécurisation de ces bases de données de santé vis à vis d'un attaquant de haut niveau, leur valeur étant bien plus élevée que les rares données traitées par l'application StopCovid.

L'attaque dans le détroit d'Ormuz est une mesure de rétorsion d'un pays de la région en réponse à une attaque par un autre pays du Moyen Orient. Au-delà de l'espionnage omniprésent, cette région particulièrement active dans le domaine cyber est depuis des années le lieu de cyberattaques parmi les plus violentes. Toutefois la géographie du cyberespace ne se confond pas nécessairement avec la géographie physique et un navire français doté de systèmes indépendants ne peut être contaminé uniquement du fait de sa présence dans la zone.

Le haut niveau de sécurité de nos systèmes d'armes est une priorité du ministère des armées et de la DGA. Les militaires ont été les premiers en France à prendre en compte cette menace et ils se sont rapidement structurés pour y faire face. La BITD traite également le sujet depuis une dizaine d'années et les grands industriels de l'armement progressent sans cesse sur le cyber.

Je dois bien avouer que je ne suis pas serein pour la sécurité des collectivités territoriales. Ce que nous avons vécu à Marseille montre que les collectivités sont des cibles critiques. Les atteintes portées à ces collectivités peuvent avoir de graves conséquences sur la vie quotidienne ou la sécurité des citoyens. Si nous savons traiter les grandes entreprises, nous savons beaucoup moins le faire pour les PME, ce que beaucoup de collectivités sont du point de vue informatique. Nous devrons y réfléchir avec le ministère de la cohésion des territoires.

Parmi les pistes d'amélioration, je suis par exemple étonné de voir chacun développer de son côté des outils sécurisés destinés à répondre à des besoins identiques. La concentration du développement de ces outils bénéficierait à tout le monde.

Depuis plus d'un an, un conseil de défense a donné priorité à la cybersécurité des hôpitaux. L'attaque contre le CHU de Rouen a conforté cette orientation. Il s'agit de sensibiliser, de déployer des moyens et d'homogénéiser les solutions.

Depuis 2018, la prise de conscience cyber a progressé, mais cela reste encore insuffisant. Le sujet est cependant pris au sérieux par les décideurs. Je l'observe de plus en plus lors de mes rencontres avec les comités exécutifs de grandes entreprises françaises où des acteurs majeurs comme les PDG, les directeurs juridiques et financiers, de nombreux responsables dont le métier n'est a priori pas le cyber, ont manifestement compris l'importance de ce sujet pour leur entreprise.

Le développement d'une conscience collective reste d'actualité. Depuis un an, une coopération étroite est établie avec l'Éducation nationale et dès la rentrée prochaine une initiation à la sécurité numérique sera dispensée au lycée.

Nous n'avons toujours pas d'antivirus souverain pour le grand public, mais un progrès a été réalisé dans le domaine du cloud. Nous ne sommes pas condamnés à utiliser des solutions américaines ou chinoises. Des sociétés comme OVH ou Outscale conçoivent des solutions robustes et sûres. La question de savoir comment amener de solutions telles qu'Office 365 sur des clouds maîtrisés fait l'objet de discussions avec Bercy.

La lutte informatique active ne relève pas des attributions de l'ANSSI, le modèle français séparant clairement l'attaque et la défense. J'ai le sentiment toutefois que les moyens sont là et que cette capacité progresse.

Les ressources humaines restent la priorité. La richesse cyber repose intégralement sur les femmes et les hommes. Nous recrutons à un très bon niveau, mais l'écart entre les besoins et le nombre de personnes capables de les remplir continue à se creuser. Afin de faire travailler ensemble public et privé et de tirer le maximum des expertises de chacun, un campus cyber sera lancé en 2021 en région parisienne.

Tout le monde nous attaque. Les petits attaquants prennent de gros risques et la justice n'a plus aucune mansuétude pour ce genre de crime. Le crime organisé opère dans des zones de non-droit où les attaquants sont très mobiles. Des États continuent à nous attaquer, et j'ai l'intuition que les grands États vont chercher à empêcher les petits à développer leurs capacités cyber, d'où l'intérêt d'être dans le premier cercle.

L'ANSSI a réussi à sécuriser ses flux et à faire du télétravail, parce que nos agents sont équipés de produits conçus par des informaticiens pour des informaticiens. Toutefois, pour l'activité classifiée, les agents sont venus travailler sur place. Cette solution dégradée est difficilement reproductible pour d'autres entités comme l'Assemblée mais certains outils peuvent ponctuellement bénéficier à d'autres entités.

Les petites attaques contre l'AP-HP n'ont pas eu d'effet opérationnel, mais ont révélé un besoin majeur de moyens pour hisser les différentes structures au juste niveau de sécurité, car l'investissement en matière de cybersécurité est souvent insuffisant.

On ne doit pas opposer souveraineté européenne et souveraineté nationale, qui se complètent. C'est l'objet de discussions franches avec les autres États membres et la Commission européenne. Nous avons besoin de l'Europe pour avoir une cybersécurité efficace et l'Europe a besoin notamment de la France et de l'Allemagne pour la développer à l'échelle européenne. Comme il n'est pas question de renoncer à notre souveraineté, nous insistons systématiquement sur la nécessité pour chaque État de développer ses capacités et pour l'ENISA de les faire travailler ensemble en réseau. Une volonté politique forte est indispensable à la construction d'une autonomie stratégique européenne.

L'ANSSI a identifié un risque de vulnérabilité lors du retour au travail. Beaucoup ont travaillé chez eux, dans le meilleur des cas avec des outils confiés par leur employeur, mais pour ceux qui ont utilisé leurs ordinateurs personnels, le risque est plus élevé. Cela pose la question du BYOD (« bring your own device ») : selon ce principe, pour faire des économies, les personnels sont invités à travailler avec leurs propres moyens informatiques. Comme il est impossible de protéger un réseau constitué d'une multitude d'équipements non maîtrisés, on peut craindre que des attaques ne passent par ces équipements pour atteindre le cœur des réseaux informatiques.

Nous faisons depuis longtemps de strictes recommandations sur le nomadisme, notamment pour éviter l'usage trop répandu d'équipements personnels. L'organisation du travail devra être repensée.

Quant aux attaques contre la BITD, je ne peux entrer dans le détail. Pendant la crise, les attaques aux fins de rançonnage et d'espionnage ont continué. Il ne faut jamais baisser la garde.