Intervention de Gérôme Billois

Je n'ai pas les compétences techniques pour répondre de manière ferme et précise. Des acteurs comme l'AFNIC – association française pour le nommage internet en coopération –, qui gère les noms de domaines en France, ont une vision plus technique sur ces questions.

Techniquement, il est possible d'avoir une copie des services numériques essentiels en France pour que les sites en « .fr » et notre routage fonctionnent, pour des services hébergés en France et qui s'appuient sur des ressources localisées en France car certains sites en « .fr » font en réalité appel à d'autres services.

Cette stratégie nous protégerait-elle d'attaques cyber ? Il existe plusieurs types d'attaque. Les attaques par saturation consistent à envoyer plusieurs attaques depuis différents points, de façon à surcharger les serveurs en France pour les faire tomber. Si l'attaque provient de l'étranger, il suffit alors de couper les liens réseau. Mais les attaques récentes venaient de partout à la fois et il est difficile de filtrer de telles attaques. Dans le cas des attaques en temps réel, l'attaquant vise un système et en capte les données. On peut interrompre l'attaque en coupant le lien sur lequel il se trouve ou en bloquant son flux. Les attaques les plus graves, qui pourraient remettre en cause la résilience, sont celles qui s'auto-propageraient, comme NotPetya et Wannacry. Quand un attaquant cherche à faire tomber une grande partie des systèmes numériques, il ne peut pas passer d'un système à l'autre. Il crée alors une attaque qui s'autoréplique, comme un virus. À partir du moment où le virus est présent à l'intérieur du territoire, une fermeture des frontières n'est plus efficace.

Nous avions réfléchi, avec l'institut Montaigne, à la création d'un bouton rouge. Ce concept existe de plus en plus dans les grandes entreprises pour fermer tous les systèmes lorsque l'on identifie une cyberattaque en cours. C'est ce que nous mettons en œuvre avec Wavestone dans un certain nombre d'entreprises afin qu'elles puissent s'isoler en cas d'attaque. L'objectif est de limiter les impacts pour les entreprises attaquées, mais aussi de ne pas en contaminer d'autres, car de telles attaques soulèvent la question de la responsabilité des entreprises.