Trois types de menaces nous obligent à adapter en permanence nos dispositifs de défense, de détection et de réaction. La France veut être une puissance en matière de cybersécurité, mais étant donné ceux contre qui nous luttons, la disproportion des moyens rend essentiel le bon emploi de nos ressources. À ce titre, je rappelle en permanence à mes équipes que l'inefficacité n'est pas concevable. Cette approche vaut en interne comme avec tous nos partenaires publics et privés au niveau national, et à l'échelle européenne.
Le premier phénomène, visible et médiatisé, est le développement de la grande criminalité. Celle-ci utilise un procédé pour l'instant difficile à parer consistant à s'en prendre à des cibles très variées à des fins d'extorsion. Les criminels pénètrent les réseaux, volent les données et les chiffrent pour les rendre inaccessibles à leurs victimes. Les cyberattaquants demandent ensuite le versement de rançons, de plusieurs millions d'euros, en bitcoins ou en d'autres cryptomonnaies, beaucoup plus difficiles à tracer que les devises classiques. Tous les moyens de chantage sont alors bons pour obtenir ces rançons. « Ou vous payez », disent-ils, « ou vous ne récupérez pas vos données, et nous allons même en publier certaines sur internet ». Ce schéma de base a quelques variantes, ces criminels ayant une inventivité remarquable.
Les entreprises ainsi attaquées, devenues, comme l'ensemble des secteurs de la société, dépendantes du numérique, sont foudroyées. L'indisponibilité des données numériques entraîne des conséquences dramatiques et des pertes considérables. Que les victimes payent la rançon ou qu'ils s'y refusent, l'attaque leur coûte très cher. Il y a quelques mois, un grand industriel français a perdu ses réseaux en quelques minutes. Cela a conduit à une perte quotidienne de 10 millions d'euros, à laquelle s'ajoutent la perte de confiance des partenaires et clients et le stress enduré à l'idée de ne pas réussir à redémarrer. Les exemples de ce type sont multiples chez les grands acteurs économiques avec lesquels nous sommes en contact direct. Mais les attaques visent aussi des PME et des ETI, dont certaines ont malheureusement dû déposer leur bilan pour avoir perdu leurs données et ne pas être parvenues à les récupérer quand bien même elles auraient payé la rançon. Cette activité criminelle a donc un impact économique réel.
Mais les conséquences vont au-delà, puisque certains s'en prennent aussi à des hôpitaux, même au cours d'une crise sanitaire. Les attaques se sont enchaînées depuis que, fin 2019, le CHU de Rouen a été le premier touché. Je vais vous sembler cynique, mais cet épisode fut aussi une expérience intéressante, parce que nous alertions depuis un certain temps les hôpitaux sur la fragilité de leur système d'information et sur les risques qu'ils courraient s'ils perdaient leurs données. La réponse qui nous était faite peut se résumer à : « Oui, peut-être, mais il ne nous arrivera rien car nous ne sommes pas des cibles ». Or, les criminels attaquent les hôpitaux car ayant commencé par s'en prendre à de grandes cliniques américaines qui ont payé de très grosses rançons, ils ont poursuivi sur leur lancée, ignorant peut-être qu'un CHU français ne payera pas une rançon de plusieurs millions d'euros – mais le mal est fait et les hôpitaux deviennent des cibles.
L'attaque visant le CHU de Rouen a montré l'ampleur des conséquences de tels agissements : absence des dossiers administratifs, disparition des dossiers des patients, de l'imagerie, des analyses biomédicales… bref, plus rien pour accueillir des patients et les soigner. De plus, nous assurait-on lorsque nous faisions part de nos inquiétudes, n'ayez crainte, si jamais nous étions attaqués, les médecins savent encore soigner. Mais la réalité est autre : certes, dans un hôpital, on sait heureusement encore soigner les gens mais le nombre de personnes soignées a chuté drastiquement. Aussi, en termes de qualité des soins, les médecins eux-mêmes nous ont confié que certaines procédures sont désormais impossibles sans outils numériques et reconnaissent que devoir s'envoyer les constantes biologiques des patients sur des portables personnels est source d'erreurs. En pratique, le CHU de Rouen n'a pu traiter que les urgences vitales pendant plusieurs jours. Après ce coup de semonce, malheureusement, les attaques se sont répétées. Au début de l'année 2020 en ont été victimes coup sur coup les hôpitaux de Dax, Villefranche-sur-Saône, Oloron Sainte-Marie et Saint-Gaudens. Il leur a fallu des semaines pour redémarrer, des mois pour revenir à une situation normale – et certains n'y sont toujours pas parvenus.
Je mentionnerai aussi l'attaque qui a marqué les esprits aux États-Unis il y a quelques semaines. Elle a visé Colonial Pipeline, l'opérateur du principal oléoduc de la côte Est, par lequel circule la moitié du pétrole raffiné de cet immense territoire. Tout a été arrêté ; vous imaginez sans mal les files de voitures et la pénurie qui s'installe faute de ravitaillement – et si l'opérateur ne ravitaillait plus, c'est qu'il était incapable de facturer. Outre que les cyberattaques peuvent viser n'importe quel secteur, cela nous montre que les vulnérabilités sont multiples et que les conséquences parfois inattendues. Autre enseignement majeur : Colonial Pipeline, qui a payé une rançon de 5 millions de dollars, n'a réussi à récupérer que 5 % de ses données. C'est dire que céder au chantage n'a pas d'effet magique.
Les collectivités locales sont d'autres victimes de cyberattaques qui ont un très fort impact sur la vie quotidienne de nos concitoyens. La principale attaque que nous avons dû gérer a visé l'agglomération d'Aix- Marseille, deux jours avant les élections municipales, probablement un simple concours de circonstances. Jusqu'au dernier moment, les fichiers n'étant plus accessibles, la ville a craint de ne pouvoir éditer les listes d'émargement. Beaucoup d'autres dysfonctionnements ont ensuite été observés, l'organisation des transports en commun a été affectée, comme la facturation de la distribution d'eau. Le plan des concessions n'étant plus accessible, les cimetières de Marseille ont été bloqués pendant une dizaine de jours, en pleine pandémie. Enfin, les chiffres liés à la pandémie n'ont pas pu être remontés. Cet épisode a rappelé que toutes les collectivités locales sont les cibles potentielles de cyberattaques dont l'impact est souvent bien plus important que pourrait le laisser croire une analyse trop rapide. Dans ce cas, la rançon demandée n'a pas été payée. Le cas des collectivités locales nous inquiète parce que leur niveau de sécurité informatique, globalement très insuffisant, les rend vulnérables à l'explosion exponentielle de la cybercriminalité. L'ANSSI a traité une cinquantaine d'attaques cybercriminelles en 2019, 200 en 2020 ; en ce moment, nous traitons en permanence un flux de ces cyberattaques.
La deuxième menace, c'est l'espionnage, phénomène le plus inquiétant mais qui n'est pas, ou peu, médiatisé, et mal compris quand il l'est. Les victimes n'ont pas envie d'en parler, les attaquants sont forts et discrets, et nous ne sommes pas là pour pointer du doigt les victimes mais pour les aider. Cependant, que tout reste secret conduit à mésestimer la question. Or, deux très grosses opérations mondiales ont été conduites depuis le début de l'année 2020. Le mode opératoire de la première est très intéressant : l'attaquant a piégé un logiciel majoritairement utilisé par les grandes entreprises et les grandes administrations des États-Unis, et par d'autres ailleurs. Le virus malveillant a été introduit dans une mise à jour d'un logiciel de la société SolarWinds légitimement utilisé par les victimes. Cette mise à jour a été téléchargée par 18 000 acteurs de premier plan à travers le monde, dont un millier en France.
Ce type de piratage est imparable, puisque la mise à jour régulière des logiciels est l'un des fondements de la sécurité informatique. Dans le cas qui nous occupe, l'attaquant, dépassé par le nombre de ses victimes potentielles, plus de 18 000, s'est concentré sur les grandes agences fédérales américaines, notamment dans le domaine de l'énergie et de la défense. Il s'est également intéressé aux grands acteurs numériques que sont Cisco et Microsoft, qui ont été piégés bien qu'étant parmi les meilleurs au monde en termes de sécurité. Les Américains ont été particulièrement par cette cyberattaque, qui a aussi touché six institutions européennes. Nous avons dénombré, je vous l'ai dit, un millier de victimes potentielles en France, dont certaines avec des missions critiques, mais l'attaquant s'étant concentré sur des cibles américaines, aucune des failles présente chez des acteurs français n'a été exploitée. Les États-Unis ont désigné le SVR, service des renseignements extérieurs de la Fédération de Russie, comme l'auteur de cette attaque ; l'Union européenne a manifesté sa solidarité sans confirmer l'attribution.
Une autre affaire d'espionnage nous a beaucoup occupés : les failles dans le logiciel de messagerie Microsoft Exchange, discrètement exploitées avant d'être révélées par des attaquants qui ont cherché à exploiter un maximum de victimes. Pendant quelques jours, on a assisté à des vagues d'attaques tous azimuts, en France comme ailleurs, sachant que ce que l'on trouve dans les messageries est toujours très intéressant en termes de renseignement. Ni la France ni l'Union européenne n'ont attribué cette attaque, mais les États-Unis ont désigné la Chine. Cette affaire a conduit l'ANSSI à mener des tests de vulnérabilité ; ils ont révélé qu'environ 15 000 serveurs auraient pu être exploités. Cela ne signifie pas que tous l'ont été mais que des failles de sécurité non corrigées permettaient l'accès aux appareils de très nombreuses entreprises et de l'administration.
Le troisième phénomène qui nous mobilise est le sabotage, c'est-à-dire la cybermenace sous l'angle militaire destructif. Les cas de ce type sont heureusement plus rares parce que les opportunités sont moins nombreuses et que ces attaques coûtent cher. Dans ce domaine, on a assisté, l'été dernier, à un jeu de ping-pong entre l'Iran et Israël, Israël déclarant être ciblé sur la distribution d'eau potable, secteur extrêmement critique. Et, pour la première fois, nous avons médiatisé une attaque menée en France, semblable à celle qui a visé SolarWinds mais cette fois à des fins de destruction. Nous avons identifié un attaquant qui s'était positionné en agent dormant dans les réseaux d'une vingtaine de victimes en France, profitant de portes dérobées utilisant le mode opératoire Sandworm, associé en sources ouvertes au GRU, la direction générale des renseignements de l'état-major des forces armées de la Fédération de Russie. Ainsi, au moyen de cyberattaques discrètes et sophistiquées, nos adversaires semblent préparer les conflits de demain, qui seront également des conflits numériques. Nous devons nous y préparer en protégeant impérativement ce qui doit l'être.
L'intensité de la menace et le nombre d'attaques ne font que croître – et encore ne parlons-nous de ce que nous voyons. Face à cela, la réaction de l'État, et plus généralement de l'écosystème cyber, est essentielle. Au fil des ans nous avons construit différents dispositifs, dont la chaîne C4. Nous avions pris garde, lors de la création de l'ANSSI, de séparer des fonctions qui me paraissaient incompatibles, du moins dans le modèle français. Aussi l'Agence a-t-elle pour missions l'anticipation, la prévention, la détection et la réponse à incident, mais elle ne joue aucun rôle en matière de renseignement ni d'attaque. Cela étant dit, si l'on veut être efficace, il est impératif que tous les acteurs se parlent. Tel est l'objet du C4 TECHOPS, qui rassemble la DGSE, la DGSI, le commandement de la cyberdéfense (COMCYBER), la direction générale de l'armement et l'ANSSI. Ces entités partagent en permanence analyse de la menace et qualification des incidents, de manière que ces informations ne se perdent pas entre les services. Des années ont été nécessaires à la construction de cette communauté de confiance, entre des acteurs de nature différente, qui composent une sorte de « premier cercle cyber ».
L'efficacité de ce dispositif sera encore renforcée si l'article 17 du projet de loi relatif à la prévention d'actes de terrorisme et au renseignement est adopté ; il prévoit que le procureur de la République de Paris peut communiquer à certains services de l'État des éléments nécessaires à l'exercice de leur mission en matière de sécurité et de défense des systèmes d'information. Il ne s'agit pas de forcer la main du monde judiciaire, avec lequel nous travaillons déjà très bien – notamment avec la section J3 du Parquet de Paris, spécialisée dans le traitement des questions de cybercriminalité, qui sait que l'intérêt général demande la transmission d'informations dans le respect de la loi. Mais cette évolution législative assiéra notre confort juridique et assurera que les services concernés ne travailleront pas en silo, au risque d'une étanchéité inefficace.
Présidé par le SGDSN, le C4 STRAT est le niveau stratégique de la chaîne C4. Dans cette enceinte de niveau secret défense, le Quai d'Orsay, la Chancellerie et Bercy s'adjoignent aux services déjà cités. On y définit pour les proposer aux autorités politiques les stratégies de réponse les plus adaptées aux grandes menaces cyber : leviers diplomatiques, leviers techniques, contre-attaques, sanctions économiques… tout est permis pour répondre aux agressions provenant la plupart du temps de grands États. Les scénarios de réponse élaborés au sein du C4 STRAT sont traités en Conseil de défense et de sécurité nationale. Il est parfois difficile de trouver des réponses pleinement efficaces, notamment face à certains agresseurs tels que ceux que j'ai cités précédemment, mais nous progressons.
Par ailleurs, j'indique que 136 millions d'euros sont prévus dans le plan de relance pour élever le niveau de sécurité du secteur public en France. La gestion de cette enveloppe est confiée à l'ANSSI ; c'est un fort montant pour une Agence qui, mis à part sa masse salariale et certains frais annexes, dispose d'un budget annuel de 20 millions d'euros. Ces fonds nous servent à aider ceux qui en ont besoin par le biais d'audits que nous finançons, qu'il s'agisse d'hôpitaux, de collectivités locales ou de certains services publics qui ont compris l'enjeu de la cybersécurité mais qui ne savent pas comment procéder. Un audit réalisé par des acteurs privés leur propose un plan de remédiation ordonné. Dire « Vous avez un problème de sécurité, on vous donne 100 000 euros, résolvez-le », cela ne marche pas, parce que les organisations ne savent pas comment dépenser cet argent. En orientant l'action, l'audit met efficacement le pied à l'étrier. Nous prévoyons d'affecter 60 millions d'euros à cette fin aux collectivités locales – nous avons déjà plusieurs centaines de candidats – et 25 millions aux hôpitaux. Nous ne prétendons pas sécuriser les 4 000 établissements de santé de France, mais l'objectif est bien de remettre le pied à l'étrier des hôpitaux d'une certaine taille.
L'enveloppe prévue dans le plan de relance nous permettra aussi de développer des centres d'alerte régionaux pour compléter la couverture des victimes potentielles. Un million d'euros y sera consacré pour aider au lancement du dispositif, puis il reviendra aux acteurs locaux de prendre la suite. Nous allons former les gens appelés à travailler dans ces centres régionaux, et nous le ferons aussi pour certains secteurs d'activité. Nous venons ainsi d'ouvrir un centre d'alerte destiné au monde maritime car si autorités portuaires et transporteurs ont des intérêts de protection communs, ils n'y travaillent pas forcément ensemble. Une sorte de communauté de cybersécurité maritime émergera ainsi. Nous nous sommes inspirés des grandes banques qui, toutes concurrentes qu'elles soient, ont compris que leur intérêt est de partager les informations en matière de cybersécurité. L'ANSSI au travers du plan de relance joue un rôle incitatif, nous pouvons allouer un peu d'argent pour initier le mouvement, nous formons des gens puis nous animons la communauté des centres opérationnels pour que l'information circule vite et de la manière la plus efficace possible.
Enfin, nous proposerons, en nous inspirant des Britanniques, experts en cette matière, des services automatisés de cyberdéfense – capacités d'audit par exemple –, qui contribueront également à élever le niveau de sécurité.
Alors que la présidence française de l'Union se profile, trois sujets sont à l'ordre du jour à l'échelle européenne. Sur le plan réglementaire, la directive NIS relative à la sécurité des réseaux d'information est en cours de révision ; il s'agit de la renforcer en nous donnant un levier réglementaire sur les entreprises de services du numérique (ESN). Toute attaque d'une ESN a un effet systémique catastrophique, l'attaquant ayant un accès direct à tous les clients. Nous devons donc pouvoir coopérer, de manière un peu forcée, avec toutes les ESN, et surtout placer la barre communautaire suffisamment haut. Nous travaillons très bien avec les ESN françaises – Capgemini, Atos, Sopra, Steria – mais elles expliquent que la sécurité informatique ne peut être offerte, car elle a un coût. Aussi longtemps que ce volet ne sera pas rendu obligatoire dans les contrats, les entreprises qui n'incluront pas ce coût, soit 10 % des budgets informatiques, dans leur réponse aux appels d'offres gagneront les marchés, car elles seront moins-disantes. Il importe donc de réviser la directive NIS en ce sens, et nous nous féliciterons que la révision aboutisse lors de la présidence française de l'Union.
D'autre part, les États européens ont développé leurs capacités, qui fonctionnent désormais en réseau, et la France est très active dans l'animation de ces réseaux à l'échelle européenne. Mais il existe un point faible, les institutions européennes elles-mêmes, cibles évidentes, surtout en matière d'espionnage, y compris par nos alliés. Nous devons donc parvenir à élever le niveau de sécurisation à l'échelle européenne, et la France a un rôle moteur à jouer en ce domaine. Reste enfin à traiter la question de la solidarité : aujourd'hui, les procédures d'assistance à un État membre qui demanderait de l'aide en cas de cyber-attaque ne sont pas organisées. Nous souhaitons donc que soit évoquée au niveau ministériel pendant la présidence française de l'Union, la manière d'utiliser des ressources européennes, publiques mais également privées, quand un État-membre est la cible de fortes attaques.
Je ne finirai pas sans faire un peu de publicité au Campus Cyber qui ouvrira à la fin de l'année dans une tour à La Défense, offrant des conditions de travail attrayantes à de nombreux acteurs du secteur public et du secteur privé appelés à collaborer dans le domaine de la cybersécurité. Y seront rassemblés des industriels de la cybersécurité et du numérique de toutes tailles, des start-up, des chercheurs, des formateurs et des services de l'État tels que le nôtre, afin que tous travaillent réellement ensemble. Inspiré en partie de ce qui existe à Be'er Sheva, en Israël, Le Campus Cyber doit permettre de passer au niveau supérieur dans la coopération ; il fonctionnera en réseau avec d'autres campus, dont le pôle de cyberdéfense de Rennes qui agit sous l'impulsion du ministère des armées.
Enfin, je saisis cette occasion pour vous dire qu'il manque à l'ANSSI un pouvoir d'injonction. Actuellement, ce que nous disons est considéré comme une information parmi d'autres. Après avoir détecté 15 000 attaques possibles sur les serveurs de Microsoft Exchange, nous avons prévenu les quelques milliers de victimes potentielles que nous avons réussi à joindre ; 3 % d'entre elles seulement nous ont répondu. Il est inacceptable que des gens auxquels on dit : « Vous êtes assis sur une bombe » ne traitent pas la question. Notre homologue américain dispose d'un pouvoir d'injonction, récemment durci ; quand une faille du type de celle qui a affecté Microsoft Exchange est détectée, il écrit à toutes les agences fédérales en leur donnant 48 heures pour les corriger, après quoi la sanction tombe. Une disposition légale donnant à l'ANSSI un pouvoir d'injonction serait une étape supplémentaire dans le développement de notre écosystème cyber et motiverait davantage encore ceux qui bénéficient de nos services. Tout cela doit rester évidemment bienveillant et dans une logique d'accompagnement de la montée en compétences, mais il en va de la cybersécurité nationale.