Intervention de Arnaud Dechoux

C'est une excellente question. Pour ce qui est des établissements de santé, les attaques s'expliquent, d'une part, parce qu'ils sont moins bien protégés, et, d'autre part, parce qu'un rançongiciel perturbe fortement leur activité, et qu'ils sont bien plus susceptibles de payer. En Allemagne, l'année dernière, on a fait état du premier décès dû à un ransomware, un hôpital touché ayant dû transporter un patient dans un autre hôpital, lequel patient est mort pendant le transfert. Je ne connais pas les détails de cette affaire, qui montre cependant bien les impacts concrets qui peuvent inciter un établissement de santé à payer une rançon plus qu'une autre victime d'attaque. Au début du confinement, l'année dernière, un collectif de hackers s'est engagé publiquement à ne pas attaquer des établissements de santé. Cela a fait long feu : les attaques ont été multipliées par quatre ou cinq pour les établissements français, selon les chiffres de l'ANSSI.

Il s'agit ici à mon sens plutôt d'attaques criminelles à visée financière. Néanmoins, vous avez raison de souligner cette question : il existe une vraie porosité entre cybercriminels et acteurs étatiques.

Ils peuvent, d'une part, se revendre des outils ou des accès sur le marché noir. On a constaté une vraie progression de ce phénomène au cours des derniers mois, sinon pour la Chine ou la Russie, du moins avec des acteurs secondaires comme l'Iran, qui avaient moins de capacités cyber, mais ont fortement progressé au cours des dernières années.

D'autre part, une attaque à visée économique peut cacher autre chose. Un service de renseignement voulant réaliser des actions d'espionnage peut compromettre certains postes et y installer des sondes ou autres, puis revendre les accès sur le marché noir à un groupe cybercriminel y déployant par la suite un ransomware. Il est parfois très compliqué de dire qui est derrière une attaque. Plusieurs acteurs peuvent être impliqués. Il s'agit d'un vrai enjeu aujourd'hui, et nous avons besoin de travailler avec les différents pays et acteurs industriels et académiques pour y répondre mieux.

Pour ce qui est des attaques du CNED, je ne suis pas dans le secret des dieux. J'ai lu dans la presse que l'attaque viendrait de Russie ou de Chine. Néanmoins, je doute que des services de renseignements ou autres groupes étatiques aient commandité ce genre d'attaque. Un scénario que nous pouvons envisager est que des acteurs français ou étrangers aient fait appel à des botnets, ou réseaux d'ordinateurs zombies, envoyant beaucoup de requêtes sur le site du CNED ou d'un espace numérique de travail (ENT) pour le faire tomber. C'est déjà ce qui s'était largement produit en mars 2020, au début du premier confinement, lorsque de nombreux instituts éducatifs passaient au numérique. Nous avions déjà constaté une forte augmentation de ces attaques par déni de service, venant de réseaux d'ordinateurs situés à l'étranger. Nous voyons effectivement des adresses IP venant de l'étranger, mais je doute que ces attaques soient commanditées par un État – même si je n'ai pas d'information précise sur l'attaque du CNED de la semaine dernière. Cela illustre en tout cas encore une fois l'interaction constante entre tous ces acteurs, et le fait que ce soit une problématique mondiale.