Intervention de Guillaume Poupard

Je ne dis pas qu'il n'y ait pas d'attaques ni d'agents menaçants, bien au contraire. L'ANSSI retient l'hypothèse que le monde est hostile, et je pense qu'il l'est, et même de plus en plus.

La question est celle du sens que l'on donne à l'expression « attaque informatique ». Mardi dernier, nous avons publié notre rapport d'activité. À cette occasion, les journalistes nous ont interrogés sur le nombre d'attaques en 2017. C'est la question que la presse nous pose systématiquement. Je suis extrêmement gêné pour répondre. Je peux dire qu'en 2017, l'ANSSI a connu vingt crises, c'est-à-dire vingt attaques majeures ; en d'autres termes, vingt attaques qui réussissent et dont les conséquences sont inacceptables pour la défense et la sécurité nationale. Douze opérations, qui ont été déclenchées par l'ANSSI, nous ont occupés plusieurs mois. Ces données ne concernent pas le nucléaire, et pas les centrales, en tout cas pas en 2017.

Par contre, d'une façon constante, des gens cherchent à entrer dans des réseaux informatiques à partir d'internet. Si vous branchez une machine sur Internet avec un logiciel pour suivre son activité, il y a immédiatement des personnes qui cherchent à se connecter. C'est automatique, ce sont d'ailleurs des robots qui sont à l'oeuvre. Le temps d'infection d'une machine branchée sur internet qui n'a pas été mise à jour depuis un certain temps est de quelques minutes. C'est automatique. Je vous conseille d'ailleurs de mettre à jour votre téléphone constamment, c'est vraiment la meilleure manière de vous protéger. Une bonne partie des mises à jour est dédiée à la sécurité. C'est essentiel.

Parmi les attaques qui réussissent, on note qu'un réseau connecté à internet, ce qui n'est pas le cas des réseaux au sein des centrales, présente une opportunité pour un attaquant générique, un criminel ou un attaquant qui cible ses actions. Protéger à coup sûr un réseau connecté à internet de l'intrusion d'attaquants de haut niveau est très difficile. Nous partons donc du principe qu'un réseau connecté à internet résistera à des menaces courantes, à des virus génériques, mais ne résistera pas à des attaquants de haut niveau.

Si, un jour, on découvre que les réseaux et les équipements sensibles des centrales nucléaires sont connectés à internet, il faudra s'inquiéter car nous n'avons pas toujours la technologie appropriée pour nous protéger contre une telle faille. En revanche, nous mettons en place des logiques d'architecture pour isoler progressivement les réseaux les plus sensibles et éviter toute connexion directe à internet, par une box notamment. Ce sont là des choses bien connues qui font partie des règles que nous imposons à l'ensemble des opérateurs à l'importance vitale. Il est hors de question que les systèmes critiques soient directement connectés à internet.

Certaines attaques, de sites internet par exemple, sont traumatisantes, qui se traduisent par des dénis de service, des blocages de sites, de la défiguration. De tels cas donnent l'impression que l'attaquant a pris le contrôle de sa victime. En pratique, quand les choses sont bien faites, les sites internet ne sont pas dans le coeur du réseau informatique de l'entreprise. Ils sont ailleurs. De telles défigurations sont très désagréables et entrent dans la catégorie des attaques informatiques, mais ce n'est pas parce que le site internet a été attaqué que le réseau de l'entreprise a été atteint. Pour autant, cela entraîne très souvent une confusion. Tous les types d'attaques, tous les types d'attaquants sont confondus. Pourtant, même si cela entre sous le seul vocable de cyberattaque, la différence est grande entre un service offensif qui dispose d'énormes moyens et un petit attaquant, entre un site internet et le coeur d'une centrale. Pour toutes ces raisons, nous sommes gênés pour communiquer sur le nombre d'attaques.

Très concrètement, nous n'avons pas connaissance en France d'attaques contre les centrales nucléaires et nous n'avons pas de détection d'attaques qui auraient franchi des barrières sensibles.