Intervention de Guillaume Poupard

Monsieur le président, comme vous l'avez souligné, l'ANSSI, créée en 2009, est une agence très jeune.

Sa raison d'être est le développement de la sécurité numérique, consubstantiel au développement du numérique lui-même, lequel touche tous les secteurs d'activité, que ce soit au sein de l'État, sur le plan économique ou dans notre vie quotidienne. Dans ce cadre, le rôle de l'Agence est d'anticiper, de détecter les attaques, notamment sur le périmètre ministériel et administratif, voire au-delà demain. Ce sujet fait l'objet d'un texte porté dans le cadre de la loi de programmation militaire qui adresse des propositions à l'ANSSI.

L'ANSSI est également capable de réagir, en ce qu'elle est en mesure d'aider les victimes en cas d'attaques. C'est ainsi que des « pompiers numériques » aident les victimes, sans en faire état. En effet, lorsque nous sommes confrontés à des attaques à des fins de vols d'informations, la plupart du temps, les victimes ne veulent pas que cela se sache afin d'éviter tout sur-accident immédiat. Au-delà de l'impact direct de la perte d'information, c'est la confiance de leurs partenaires et de leurs clients qui est susceptible d'être entachée.

Il n'en reste pas moins que des attaques sont visibles. Il s'agit pour l'essentiel d'attaques à des fins de sabotage. La France a eu à connaître le cas un peu emblématique de TV 5 en 2015, que nous avons utilisé pour faire de la sensibilisation. TV 5, qui n'était pas une entité très robuste en termes de sécurité numérique, a été agressée par un attaquant extrêmement efficace qui a cherché à détruire l'ensemble du système de production de TV 5. Par chance, nous sommes intervenus très rapidement et la chaîne a fort bien réagi.

Plus récemment, au printemps dernier, l'ANSSI a connu une activité extrêmement chargée dans la mesure où elle a été confrontée concomitamment à plusieurs scénarios qu'elle avait anticipés. Cela dit, anticiper ne suffit pas toujours. Nous avons été confrontés à une campagne d'attaques criminelles « Wanacry » à des fins d'extorsion d'argent. C'est ainsi que les virus prennent le contrôle de réseaux informatiques, chiffrent les données et proposent aux victimes de retrouver l'accès à leurs données en échange d'une rançon. Le système de rançon de Wanacry fonctionnait très mal, au point que les personnes qui souhaitaient payer ne récupéraient pas leurs données pour autant.

Au surplus, la dissémination a été extrêmement violente et rapide, elle n'était absolument pas ciblée. Heureusement, la France n'a connu que très peu de victimes, mais il y en a eu d'assez emblématiques de par le monde. Je pense notamment aux services de santé britanniques qui ont été extrêmement perturbés. Pendant plusieurs jours, ils ont été dans l'impossibilité d'aiguiller les malades et les ambulances vers tel ou tel hôpital. Nous avons des difficultés à mesurer les conséquences liées aux problématiques de sécurité numérique au sens de vols d'informations, qui soulèvent la question de la sécurité des personnes.

Nous avons dû faire face à une seconde vague d'attaques au printemps dernier qui répondaient au nom de Notpetya, à des fins de destruction pure et simple, menées dans le cadre de conflits, déclarés ou non. Il a été avéré que l'Ukraine était ciblée. La France a connu des victimes parce que les ramifications des réseaux numériques de certains utilisateurs s'étendent jusqu'en Ukraine. C'est ainsi que la société Saint-Gobain a été touchée. Les conséquences pour la société n'ont pas été anodines puisque l'informatique de Saint-Gobain a été paralysée pendant quinze jours. Au-delà de l'impact sur l'image, l'impact économique se répercute sur les comptes de l'entreprise. Saint-Gobain évoque une perte nette de 80 millions d'euros. Ce qui, très cyniquement, m'intéresse en termes de sensibilisation car, au-delà des autres problèmes posés, un tel exemple souligne l'impact économique réel de la cybersécurité.

Ce n'est pas anecdotique : de nouvelles menaces se développent, notamment contre nos démocraties. Nous avons été très occupés l'an dernier par la sécurité des élections présidentielles et législatives afin d'éviter toute forme d'ingérence informatique dans les systèmes de l'État. On peut tout imaginer, qu'il s'agisse du risque de modification des résultats, de la problématique du vote des Français de l'étranger qui a été laissée de côté faute de maturité à ce moment-là, des attaques possibles contre les partis politiques et des équipes de campagne – qui sont un problème nouveau et intéressant pour nous. Plus personne aujourd'hui ne peut s'estimer à l'abri des risques numériques.

Nous disposons de plusieurs leviers d'action. Tout d'abord, un levier réglementaire. La France a été le premier pays au monde, ce dont nous sommes très fiers, à affirmer que ces sujets sont trop graves pour se limiter à des actions de sensibilisation et de conseil. Des articles très importants sur la cybersécurité sont portés par la loi de programmation militaire votée en décembre 2013. Ils imposent aux opérateurs critiques de mettre en place des règles de cybersécurité dans différents secteurs d'importance vitale. Le nucléaire civil fait partie de ces secteurs et les règles de sécurité figurent sous forme d'arrêtés sectoriels. Publiques, d'un niveau assez générique, ces règles imposent aux opérateurs eux-mêmes, en lien avec le ministère coordonnateur, des actions à mener en termes de gouvernance, d'organisation, de mise en place de moyens techniques sur les systèmes dits d'importance vitale, c'est-à-dire les systèmes les plus critiques, par ces opérateurs d'importance vitale. L'idée n'est pas de faire de la réglementation pour le plaisir, mais de trouver les moyens efficaces pour élever le niveau de sécurité des opérateurs critiques. À cet égard, l'ANSSI contrôle l'action des opérateurs par la voie d'un canal privilégié. Ces derniers sont obligés de notifier à l'ANSSI les incidents liés à la sécurité, ce qui lui permet de s'assurer que leur volonté n'est pas de cacher la poussière sous le tapis. L'idée est d'être capable de les aider au plus vite en cas de problèmes et surtout d'avoir l'information pour s'assurer que le même type de problème ne se produit pas chez d'autres acteurs.

Par expérience, nous savons que les cyber-attaquants se focalisent rarement sur une cible unique, mais se spécialisent plutôt dans divers domaines d'activité, que ce soit à des fins d'espionnage économique ou à des fins de caractère plus militaire. Dans le cas du nucléaire, les scénarios que nous anticipons mettent en jeu des acteurs susceptibles de s'intéresser à l'ensemble du sujet sur les différents types d'opérateurs pour toucher les points les plus fragiles. Une cohérence défensive est à mettre en place. Nous utilisons la réglementation pour agir.

Récemment, nous avons transposé la directive européenne sur la sécurité des réseaux et des systèmes d'information connue sous l'appellation « directive NIS », Network and Information Security, qui reprend, à l'échelle européenne, les idées que nous avions développées parallèlement en France et en Allemagne. Suite à la loi de transposition qui a été votée à la fin de février 2018, nous pouvons dorénavant appliquer la même logique aux opérateurs de services essentiels. L'idée consiste à identifier des acteurs critiques, d'en identifier progressivement de plus en plus et de mener cette démarche réglementaire. Comme toute forme de réglementation, cette réglementation est bienveillante et se présente comme une main tendue en vue de catalyser le développement de la sécurité numérique chez ces opérateurs qui, pour beaucoup d'entre eux, découvrent le numérique et, bien davantage encore, la sécurité numérique. Le sujet concerne tout le monde, y compris ceux qui ne sont pas experts dans le domaine de la cybersécurité.

Nous voulons faire remonter ces sujets au plus haut niveau de la gouvernance parce que les impacts sont majeurs en termes de fonctionnement, d'arbitrages financiers et de conception même des systèmes. On ne fait pas de la cybersécurité en passant le bon contrat avec une entreprise ou bien en embauchant trois experts : l'activité est plus diluée, elle est transverse au fonctionnement de l'ensemble des acteurs. C'est à la fois tout l'intérêt et toute la difficulté qui s'attache à cette problématique.

Le cas des centrales nucléaires est un peu particulier. Je tiens en général un discours assez anxiogène et assez critique car je suis très inquiet de ce que l'on relève dans différents secteurs. Nous ne sommes pas prêts à résister à une cyber-attaque massive. Je pense que nous avons fait beaucoup mais le champ est si vaste et nécessite tant d'évolutions de process que si un grand État voulait porter atteinte aujourd'hui à notre sécurité numérique, les conséquences, malheureusement, seraient assez graves.

Le cas du nucléaire est un peu particulier. Le sujet est emblématique quand on parle de sécurité en général. Dès 2012, avec l'aide du ministère en charge de l'énergie, l'ANSSI s'est rapprochée d'EDF pour mettre en avant la question que posaient les centrales et la nécessité de la traiter. Notre démarche avec EDF a été originale, car elle a été exhaustive et s'est traduite par une suite d'audits. L'ANSSI s'est rendue sur place pour étudier le niveau de sécurité réel, et pas uniquement théorique, de l'ensemble des centrales nucléaires du parc français.

Ces audits sont coopératifs. Nos auditeurs ont les capacités et le savoir-faire des attaquants informatiques. Pour gagner du temps, en coopération avec EDF, nous leur donnons accès à une large documentation relative aux centrales et à des plateformes afin qu'ils gagnent du temps. Le but des attaquants est de trouver toutes les failles possibles, de pénétrer au sein des systèmes et de mesurer les effets qu'ils peuvent obtenir. Il s'agit d'attaques réalisées dans des conditions maîtrisées. Nous procédons ainsi régulièrement dans les ministères et chez de multiples opérateurs d'importance vitale. Nous réalisons à peu près soixante-dix audits par an, ce qui est considérable en termes d'activité.

À chaque fois, nous fixons des règles du jeu à nos attaquants : ils ne doivent rien casser et rester responsables mais sont libres de leurs attaques. L'idée est de les positionner en tant que véritables attaquants qui voudraient porter atteinte à la sécurité des systèmes. En termes d'effets à obtenir, nous nous attachons aux atteintes à la sécurité des centrales et à leur sûreté de fonctionnement, à la possibilité de voler de l'information sensible, de bloquer la production d'électricité sans pour autant détruire. Les attaquants ont le droit de passer par le réseau, par les clés USB, par les réseaux sans fil, par les ondes ou par des réseaux non physiques.

À l'issue de ces audits, qui incluent également une étude de l'organisation car nous avons une approche théorique parallèle, nous sommes amenés à formuler des recommandations. Il nous arrive d'identifier des vulnérabilités réelles. Dans le cas des centrales, c'est assez rare et c'est pourquoi je le mentionne, rien de grave n'a été trouvé. Nous pouvons toutefois être amenés à faire des recommandations de défense en profondeur. Parfois, on pose plusieurs barrières. Quand bien même la première barrière n'a pu être franchie, il n'en reste pas moins que, tel le château fort, édifier plusieurs barrières permet de s'assurer que si un attaquant réussissait à passer une première étape, il resterait bloqué ensuite.

À partir de 2012, nous avons adressé des recommandations à EDF dans un process d'amélioration continue. Nous réalisons des audits très poussés et formulons des recommandations qui sont prises en compte. Je reconnais que nos remarques sont intégrées et impliquent parfois des modifications du système. Lorsque de nouveaux paliers ou que des évolutions de versions interviennent, nous procédons à de nouvelles évaluations. Nous effectuons en moyenne tous les ans un ou deux audits des centrales.