Intervention de Arnaud Dechoux

Si vous me le permettez, je voudrais présenter très rapidement Kaspersky, pour expliquer qui nous sommes, ce que nous faisons et ce que nous ne faisons pas. L'entreprise a été fondée en 1997 par Eugène Kaspersky, qui reste aujourd'hui son président-directeur général et son propriétaire. Avec un chiffre d'affaires d'environ sept cents millions de dollars, Kaspersky est la première entreprise privée de cybersécurité au niveau mondial. Elle emploie environ quatre mille salariés dans le monde, dont plus d'un tiers en R&D. L'entreprise a l'originalité d'être une multinationale d'origine russe, dans un secteur où les grands acteurs sont souvent d'origine anglo-saxonne. L'Europe constitue aujourd'hui, de loin, notre première zone d'activité : 40 % environ de notre chiffre d'affaires sont aujourd'hui réalisés en Europe. Nous attachons donc beaucoup d'importance aux considérations européennes, entre autres sur les sujets de souveraineté numérique.

Kaspersky est initialement connu pour son moteur antivirus très efficace, mais est aujourd'hui bien autre chose. Nous avons deux segments d'activité. En premier lieu, le segment grand public constitue environ 50 % de notre activité : il s'agit de la protection des ordinateurs, de gestionnaires de mots de passe, de réseaux privés virtuels (VPN) ou encore de solutions de contrôle parental. La deuxième moitié concerne les services aux entreprises et organisations ; environ deux cent soixante-dix mille organisations sont clientes de Kaspersky, de la très petite entreprise (TPE) ou petite et moyenne entreprise (PME) à la multinationale, en passant par de nombreuses organisations publiques. Nous parlons en l'occurrence de solutions de protection des postes de travail, mais aussi de sondes réseau ou de protections pour le milieu industriel, qui est également très ciblé aujourd'hui par les cyberattaques, d'outils de protection des objets connectés, ou encore de chiffrement des infrastructures cloud, mais aussi de programmes de sensibilisation à la cybersécurité.

La dernière activité sur laquelle je voulais insister est celle des services threat intelligence, autrement dit de renseignement cyber sur les menaces avancées. Très concrètement, ce sont des flux d'informations à destination des agents de cybersécurité, des grandes entreprises, des intégrateurs, qui possèdent en interne des computer emergency response teams (CERT) ou des security operations centers (SOC), c'est-à-dire des équipes chargées de réaliser de la veille cyber. L'objectif pour ces acteurs est de mieux connaître la menace, de mieux s'y préparer et de mieux gérer les risques cyber. Chez Kaspersky, cette activité est gérée par une équipe appelée Global research analysis team (GReAT) : quatre chercheurs en France sont spécialisés sur ces sujets.

Nous comptons quatre cents millions d'utilisateurs dans le monde pour nos différents services. C'est précisément cette présence internationale qui nous permet de suivre en temps réel l'évolution des cybermenaces dans les différents pays. Les utilisateurs qui le souhaitent nous remontent, après avoir accepté cette modalité par un système d' opt-in, des données de télémétrie, qui permettent d'analyser les fichiers malveillants auxquels ils sont confrontés, en particulier ceux que nous ne connaissons pas encore. L'objectif est d'analyser ces derniers pour mieux les identifier à l'avenir.

Kaspersky emploie 70 personnes en France, où elle existe depuis une quinzaine d'années. L'entreprise est membre de la plateforme Cybermalveillance depuis 2017, acteur que vous avez auditionné et qui nous semble extrêmement important pour sensibiliser et instaurer une véritable culture d'hygiène numérique parmi les citoyens et les petites entreprises. L'entreprise est également signataire, depuis 2018, de l'Appel de Paris pour la confiance et la sécurité du cyberespace. Dans ce cadre, nous codirigeons depuis quelques mois avec le Cigref l'un des groupes de travail mis en place par le ministère de l'Europe et des affaires étrangères, pour apporter des outils concrets aux signataires de l'Appel.

L'un des maîtres mots de Kaspersky, en France comme dans le monde, est la transparence, pour répondre à des risques, fussent-ils théoriques, et à un éventuel manque de confiance, tel qu'il a pu exister. L'entreprise a mis en place depuis 2017 une initiative mondiale de transparence ( global transparency initiative, GTI), qui nous semble l'un des programmes les plus avancés, voire le plus avancé dans le domaine. Il s'agit également d'une réponse aux enjeux de souveraineté de nos clients. Nous pourrons y revenir si vous le souhaitez.

Je vous propose de revenir sur quelques évolutions récentes du paysage des cybermenaces, notamment du fait de la crise sanitaire, mais non uniquement.

Kaspersky distingue classiquement trois types de menaces. Le premier est celui de la cybercriminalité traditionnelle, qui représente environ 80 % du volume des fichiers que nous détectons. Ces menaces sont en réalité assez faciles à détecter, et se traitent automatiquement. Il s'agit souvent de criminels traditionnels qui se sont mis au cyber, en considérant qu'il procédait d'un bon business model, avec des risques limités.

Le deuxième étage est celui des menaces ciblées, qui visent principalement des organisations. Elles représentent environ 20 % du volume total des détections, et sont déployées par des groupes d'attaquants beaucoup plus spécialisés, organisés, voire très professionnels. Les rançongiciels en sont un très bon exemple.

La dernière catégorie est celle des cyberarmes, déployées par des groupes étatiques ou paraétatiques ; elles ne représentent que 0,01 % du volume, mais ces attaques sont très visibles. Elles peuvent avoir des objectifs d'espionnage ou de sabotage, voire des visées financières dans certains cas très précis – je pense notamment aux attaques de la Corée du Nord cherchant à obtenir des devises. Dans cette dernière catégorie, la question de l'attribution des cyberattaques est une tâche très complexe.

Nous constatons une augmentation constante des cyberattaques depuis la création de Kaspersky. En 1994, on détectait un nouveau virus ou fichier malveillant par heure : le rythme est passé à un virus par minute en 2006, un virus par seconde en 2011. Les chiffres continuent à augmenter : 350 000 virus étaient détectés chaque jour en 2019 ; en 2020, en partie à cause de la situation sanitaire et du confinement, on atteignait 428 000 virus par jour, soit une progression de 25 % des détections en un an. La situation liée à la covid-19 et aux restrictions de déplacements a entraîné une augmentation de certains types de cyberattaques. Je pense notamment aux attaques de services d'accès à distance ( remote desktop protocol, RDP) ou aux rançongiciels ciblés sur les établissements de santé, par exemple. Nous essayons néanmoins de relativiser ce constat en observant qu'il n'y a pas eu de progression exponentielle, mais une progression stable des attaques. La progression de ces derniers mois est également due à l'élargissement de la surface d'attaque : augmentation du temps passé sur Internet, du travail à distance, avec des équipements souvent moins bien protégés que ceux des entreprises, et recours à des ressources éducatives en ligne. Dans ce dernier cas, nous avons vu d'autres types d'attaques, comme celles par déni de service (DDoS), qui se sont beaucoup développées lors du premier confinement en mars dernier, et la semaine dernière encore en France. Ceci est dû aussi bien sûr au développement des objets connectés.

Pour finir, je voudrais revenir sur plusieurs tendances récentes que nous avons observées.

La première est le développement des attaques sur mobile. On protège aujourd'hui largement son ordinateur, mais on pense rarement à son smartphone, qui contient pourtant toute notre vie numérique. Il s'agit selon nous d'un axe de progrès important.

L'explosion des rançongiciels ciblés, qui visent beaucoup les entreprises, collectivités territoriales et établissements de santé, est une autre tendance majeure. Nous avons constaté au cours des deux dernières années un transfert des rançongiciels non discriminés, visant des dizaines de milliers de personnes, dont beaucoup de simples utilisateurs, à un ciblage ces derniers mois des grandes organisations, en particulier les grandes entreprises, qui ont les moyens de payer et sont plus susceptibles de le faire, car la perturbation de l'activité risque de fortement impacter la vie de leurs utilisateurs.

Un troisième phénomène est la structuration importante et la professionnalisation de l'écosystème cybercriminel. C'est notamment le cas pour les rançongiciels dont nous venons de parler. On a souvent l'impression que l'entreprise a affaire à un seul groupe de hackers, mais elle est en réalité confrontée à une dizaine de parties prenantes distinctes, l'un des groupes se chargeant du développement du rançongiciel, le deuxième fournissant les accès, un troisième se chargeant du contact client (certains faisant même appel à un standard téléphonique pour faire des relances), un autre encore se chargeant du blanchiment d'argent. Il s'agit aujourd'hui d'un écosystème très complexe, très structuré, et contre lequel il est d'autant plus difficile de lutter. C'est pour cette raison que la collaboration nous semble importante.

Enfin, les attaques dites par chaîne d'approvisionnement ( supply chain) visent la chaîne logistique, et consistent souvent à passer par un sous-traitant pour atteindre la cible finale. Un exemple a fait beaucoup de bruit, depuis le mois de décembre 2020, avec l'attaque, sans doute liée à de l'espionnage, de Sunburst sur les produits SolarWinds, qui a notamment affecté des entités américaines. Sur ce type de sujets, de même que pour les attaques d'infrastructures critiques, nous avons constaté une montée en compétences des cyberattaquants, et un activisme accru de certains acteurs que l'on ne voyait pas auparavant. Je pense en l'occurrence à des États, qui ont développé leur capacité cyber et montent en compétences sur les cyberarmes, éventuellement en achetant des outils sur les marchés noirs à d'autres acteurs.

En conclusion, je dirais qu'au vu de tous ces enjeux, il est essentiel de promouvoir la cybersécurité par conception, voire la cyberimmunité des produits. C'est un concept que nous essayons de promouvoir, et qui consiste à redémarrer sur la base de systèmes d'exploitation totalement sécurisés. Beaucoup de systèmes de contrôle industriel ( supervisory control and data acquisition, SCADA) ont été designés il y a des dizaines d'années et ne sont plus au niveau. Ils imposent de redémarrer de zéro. La sécurité par conception, le partage d'informations et les partenariats publics-privés sont essentiels.

Cyber Malveillance et le Cyber Campus, que vous avez je crois auditionnés, nous semblent des acteurs clefs dans ce domaine. La collaboration est le seul moyen qui nous permettra de répondre efficacement aux cybermenaces en constante évolution.