Intervention de Gérôme Billois

Les exemples de dégâts sont parlants. À Kiev, une cyberattaque attribuée à la Russie a entraîné une coupure d'électricité pendant huit heures. L'attaque visait les systèmes de distribution électrique et est parvenue à détruire les systèmes numériques électriques. Il a fallu redémarrer tous les postes électriques un à un. De la même façon, une attaque attribuée à l'Iran, qui a heureusement échoué, a mis en danger les systèmes de sûreté dans une raffinerie en Arabie saoudite. Ces systèmes de sûreté vérifient ce qui se passe au sein d'une raffinerie afin de tout couper en cas de risque d'explosion : cette attaque aurait pu mener à une catastrophe.

Les États s'arment dans le numérique avec des outils de recherche de vulnérabilités, de failles de sécurité, qu'on nomme dans le jargon « zeroday », car jamais un jour ne s'écoule entre le moment où on l'utilise et celui où elle est connue par l'éditeur. Ces failles sont inconnues avant l'attaque et on ne peut qu'y réagir après-coup. C'était le cas de l'affaire Pegasus, où une faille inconnue d'Apple dans les IPhone permettait d'en prendre le contrôle en envoyant un simple SMS. Dans un scénario d'attaque simultanée sur les systèmes les plus répandus tels que Windows, 50 à 60 % des systèmes numériques à l'échelle du pays seraient à l'arrêt pendant au moins trois semaines, et deux à trois mois seraient nécessaires pour s'en remettre totalement. Chez Saint-Gobain, l'activité a été interrompue pendant plus de deux semaines. Wavestone y avait pourtant envoyé une équipe de quarante personnes qui ont travaillé jour et nuit pendant trois semaines pour remettre les systèmes en état de marche, et plusieurs centaines de personnes coopéraient dans la cellule de crise. Nous pourrions également subir des attaques plus ciblées, visant des éléments clés d'infrastructure, dans les raffineries ou les centrales électriques, avec des conséquences graves dans le monde réel. Toutefois, pour généraliser ces attaques et pour faire sauter cinq raffineries simultanément ou couper l'électricité dans quinze villes à la fois, il faudrait une attaque extrêmement précise.

Qui y aurait un intérêt ? Dans la doctrine de tous les États occidentaux, chacun sait que les cyberattaques dans le monde réel peuvent entraîner une réponse appuyée sur les moyens cinétiques que vous citiez. Ainsi, si une telle attaque est techniquement possible, la probabilité qu'un État y procède est peu élevée. Le risque serait plutôt un accident : de même qu'un virus sort parfois d'un laboratoire, un outil en expérimentation pourrait se retrouver dans la nature. La probabilité qu'un tel outil soit responsable d'une attaque massive est toutefois faible.