Parce qu'on y a eu deux vagues d'attaques qui ont été particulièrement virulentes. Tout cela est très compliqué, c'est volé puis réutilisé, c'est extrêmement proliférant. La première attaque, qu'on a appelé WannaCry, a touché des cibles de manière très aléatoire. En France, des chaînes de montage chez Renault, par exemple, ont été bloquées pendant plusieurs jours. Économiquement, cela peut vite peser très lourd. En Allemagne, ce sont les chemins de fer qui ont été touchés, avec des messages de demande de rançon qui s'affichaient sur les quais des gares à la place des horaires… C'est très anxiogène. Mais de façon encore plus grave, le système de santé britannique, le National Health Service (NHS), a été complètement paralysé. Mon homologue savait que le système était faible, mais là, pour le coup, il a été complètement bloqué : les ambulances ne fonctionnaient plus, la planification des hôpitaux ne fonctionnait plus… Il y aura jamais de bilan complet : un bilan financier a été dressé, autour de 90 millions de livres, mais on ne fera jamais de bilan humain, évidemment, au moins publiquement, il y a probablement eu des décès prématurés. Quand les systèmes d'hôpitaux fonctionnent mal, c'est plus compliqué de soigner les gens, surtout aux urgences.
L'autre exemple est arrivé un mois après avec ce qu'on a appelé NotPetya, là c'est l'Ukraine qui a été ciblée, avec quelque chose qui ressemblait à du rançonnage, mais qui en fait était simplement destructif. L'Ukraine était ciblée, mais certains de ceux qui avaient un pied en Ukraine, ou seulement un orteil, ont aussi été contaminés. Saint-Gobain en effet a perdu 80 millions d'euros de résultat net en l'espace de quelques jours. D'autres acteurs à travers le monde également, qui n'étaient pas ciblés par l'attaquant, l'ont été car ces réseaux ne s'arrêtent pas aux frontières : des pharmaciens, des transporteurs maritimes, qui ont perdu énormément d'argent, et ça aurait pu être bien plus grave. Ce genre de choses est très proliférant, très contaminant, quand c'est mal géré par l'attaquant lui-même.
La deuxième menace est l'espionnage. L'espionnage est extrêmement complexe parce que personne ne veut en parler. Les attaquants, évidemment, font tout pour être très discrets, parce que l'intérêt d'entrer dans un système est également d'y rester, pour récupérer l'information au fil de l'eau. Si on ne les cherche pas, on ne les voit pas en général, c'est en apparence indolore. Les victimes ne veulent pas non plus en parler, parce que ce n'est pas glorieux, cela remet en question les relations de confiance avec des partenaires, avec des clients, dans un contexte de concurrence. Je suis allé voir des comités de direction (comex) très vite après la détection de telles attaques. Leur réaction en général est qu'il ne faut surtout pas en parler parce que, si ça se savait, cela ferait perdre 10 % en bourse et rendrait opéable, cela ferait échouer telle opération de fusion acquisition… Ces préoccupations sont des effets collatéraux, indépendamment de l'effet direct de l'espionnage, qui est la perte de savoir-faire ou de compétitivité.
Nous-même n'en parlons pas non plus, en tout cas pas autrement qu'en termes très génériques, comme je le fais ici, parce que notre rôle est d'aider les victimes, il n'est pas de les enfoncer. Donc c'est un sujet qui est totalement sous-estimé dans la conscience collective parce qu'on en parle peu, on a peu d'exemples, peu de cas qui sont mis en exergue, ce n'est pas visible. Et pourtant les effets sont probablement à long terme très importants. Pour donner une idée, 95 % des opérations que nous menons sont causées par l'espionnage, et quand nous menons une opération, c'est que c'est vraiment grave en termes de sécurité nationale, typiquement dans les secteurs que mentionnait la DGSI.
La dernière menace que je voulais mentionner, qui est de loin la plus inquiétante pour nous, est l'usage d'attaques informatiques contre des systèmes, non pas pour voler de l'information ou pour chercher à extorquer de l'argent, mais bien pour porter atteinte au fonctionnement de ces systèmes. Et là, on ne parle plus de la bureautique, on ne parle plus de capacités de calcul, on parle de tout ce qui gère aujourd'hui, ce qu'on appelle la gestion technique de bâtiments (GTB), informatique bâtimentaire, informatique de gestion, informatique industrielle. Là évidemment, des laboratoires sont directement concernés, des laboratoires qui ont des activités potentiellement dangereuses, certains ont des représentants ici, dans les domaines liés à tout ce qui est virologie, tout ce qui est chimie dangereuse, bref tout ce qui peut exploser, contaminer… Dans ces systèmes, aujourd'hui, il y a des automates, c'est-à-dire des équipements qui avant étaient électromécaniques mais qui sont désormais informatisés. On trouve des petits ordinateurs un peu partout, tout cela s'interconnecte, c'est pour ça que ça marche bien et que c'est particulièrement pratique. Souvent ça s'interconnecte à l'extérieur des labos eux-mêmes, vers les fournisseurs, vers ceux qui administrent, vers l'internet. C'est très pratique, mais objectivement ça crée des risques très nouveaux qu'il faut vraiment prendre en compte. Je ne veux pas citer d'exemple trop précis pour ne pas être stigmatisant, mais on voit très bien tout ce que peut faire un attaquant qui prend le contrôle de ces automates, il peut faire fonctionner ces systèmes de manière totalement non conforme et provoquer des catastrophes. S'il y avait finalement un seul point où je voudrais vraiment attirer votre attention, c'est celui-là, parce qu'il peut avoir des conséquences absolument dramatiques pour les gens qui travaillent dans le laboratoire, et pour l'extérieur. On ne parle plus du tout d'espionnage, mais vraiment de sécurité des personnes et des biens, comme on dit pudiquement.
J e voudrais mentionner trois éléments, sur les solutions et la manière avec laquelle l'ANSSI envisage les choses. Premièrement on parle de socle de base de règles d'hygiène informatique. La plupart des gens se comportent sans le savoir, sans penser à mal, de manière totalement inconsciente, inconséquente. Donc devraient être vraiment acquis par la grande majorité d'entre nous une hygiène de base, une prudence de base, des réflexes.
Deuxièmement, la sécurité numérique ne doit pas être un dogme, elle ne doit pas être rigide, elle doit avant tout s'appuyer sur l'analyse des risques. Une fois que l'analyse de risque est effectuée, on sait se protéger avec des règles que l'on va retrouver dans les mesures liées à la PPST ou pour les ZRR. Il faut bien toujours se demander : de quelles règles ai-je besoin ? de quelle démarche ai-je besoin ? de quels efforts ai-je besoin pour me protéger et contre quoi ? Toute approche trop automatique et dogmatique est vouée à l'échec.
Troisièmement, la sécurité ne peut fonctionner que si on associe les gens qui doivent devenir des acteurs de cette sécurité, qui ne sont pas les experts de la sécurité justement. Tant qu'on opposera les utilisateurs à ceux qui veulent faire de la sécurité, ce sera pénible pour tout le monde et ce ne sera pas efficace. Quand, au contraire, tout le monde avance dans la même direction, cela a vocation à être efficace et beaucoup plus compréhensible par tous. Je vous remercie.