Intervention de Patrick Pailloux

Mesdames et messieurs les députés, je suis flatté d'avoir l'occasion de m'exprimer devant votre commission. Travaillant depuis longtemps dans les domaines de la cybersécurité et de la cyberdéfense, je suis malheureusement bien placé pour connaître la menace. Le contexte est si inquiétant que je suis heureux de toute occasion qui m'est donnée de sensibiliser la représentation nationale à ces problèmes.

La première des menaces informatiques est l'espionnage. Bien qu'il soit difficile de le mesurer, on peut affirmer que le cyber-espionnage n'a jamais été aussi important qu'aujourd'hui et dépasse, de loin, tout ce que l'on a pu connaître précédemment. En permanence, c'est vrai au moment même où je vous parle, de très grandes entreprises sont pillées par des pirates informatiques qui se sont introduits au sein de leurs réseaux depuis des semaines, des mois, voire des années – la durée moyenne d'observation dépasse un an – et, en toute impunité, leur volent leur patrimoine. Cela est arrivé aussi à des administrations, dont Bercy durant la présidence française du G 20. Cet espionnage n'est pas l'apanage de grands services de renseignement. Il est, hélas, à la portée d'un très grand nombre d'acteurs. De toutes petites officines peuvent se livrer à de l'espionnage simple, pour un coût ne dépassant pas quelques centaines d'euros.

La deuxième menace est la déstabilisation. Tout conflit, quel qu'en soit le lieu, la nature – sociale, politique, religieuse… –, la portée – locale, nationale ou internationale – et la forme, s'accompagne désormais d'attaques informatiques. Lors de l'opération Serval au Mali, des activistes opposés à l'intervention française ont lancé des cyberattaques pour manifester leur désapprobation. De même, le blog du Premier ministre a été piraté pour dénoncer le projet d'aéroport de Notre-Dame des Landes. Au même titre que les manifestations de rue, les attaques informatiques sont devenues un moyen d'exprimer une protestation. Ces attaques prennent trois formes essentielles. La première consiste à défigurer les sites Internet à des fins revendicatives : les attaquants affichent un message, souvent des plus vulgaires, sur la page d'accueil. La deuxième consiste à bloquer les sites en les saturant de trafic : c'est ce qui est arrivé en décembre 2011 au site du Sénat, bloqué par des pirates turcs en représailles du vote de la loi réprimant la négation du génocide arménien. C'est une forme de « cyber-sit-in ». Le troisième mode d'action consiste à pénétrer les systèmes d'information puis de rendre publiques les informations volées. Des opposants aux travaux du GIEC, le groupe international d'experts sur le climat, ont ainsi révélé le contenu de sa messagerie, portant sur la place publique les débats internes au groupe de chercheurs pour tenter de les déconsidérer.

La troisième menace est le cyber-sabotage. Nos sociétés sont devenues dépendantes de l'informatique et des télécommunications. Ce sont des systèmes informatiques qui contrôlent la production et la distribution d'électricité, les réseaux de transports en commun, la climatisation des bâtiments, les systèmes de télécommunications… Toute attaque est susceptible de faire dysfonctionner ces systèmes et d'occasionner de sérieux dommages. Chacun imagine aisément les conséquences potentielles d'une attaque sur les commandes de contrôle d'un barrage par exemple. De tels sabotages ne sont, hélas, plus de la science-fiction. Les centrifugeuses iraniennes d'enrichissement de l'uranium ont été endommagées par le virus Stuxnet. La compagnie pétrolière saoudienne Aramco a elle aussi été victime d'une attaque. Et tout récemment, dans un contexte de tension entre la Corée du Nord et la Corée du Sud, à la suite d'une attaque informatique, les clients de plusieurs banques sud-coréennes ne pouvaient plus retirer d'argent aux distributeurs automatiques.

Face à toutes ces menaces, que faisons-nous ? À la suite du Livre blanc sur la défense et la sécurité nationale de 2008, la France a créé en 2009 l'Agence nationale de sécurité des systèmes d'information, que j'ai l'honneur de diriger. Cette agence, à la fois autorité de sécurité et autorité de défense, rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui dépend lui-même du Premier ministre, a deux missions, l'une de prévention, l'autre de réaction.

Sa mission de prévention consiste à veiller à ce que les infrastructures vitales pour le bon fonctionnement de la nation, publiques ou privées, soient suffisamment protégées et capables de résister à une attaque informatique. L'ANSSI apporte une assistance technique concrète aux opérateurs qui en ont besoin. Ainsi, elle a assisté le ministère des Affaires étrangères pour sécuriser le vote par Internet autorisé lors des dernières législatives pour l'élection des députés représentant les Français de l'étranger. Elle travaille de même avec EDF, avec la SNCF… Un autre volet de sa mission de prévention est de sensibiliser aux risques informatiques et de délivrer des labels à des produits de sécurité ou des prestataires.

L'Agence a pour seconde mission de piloter et de coordonner, sous l'autorité du Premier ministre et du Secrétaire général de la défense et de la sécurité nationale, la réponse en cas d'attaque informatique contre des infrastructures critiques. Elle s'appuie pour cela sur un centre opérationnel actif 24 heures sur 24, sept jours sur sept. Son action peut être comparée à celle des pompiers : des groupes d'intervention sont chargés d'intervenir auprès des administrations ou des grandes entreprises victimes d'attaques, pour les aider à gérer la situation. Il faut savoir que débarrasser les réseaux des pirates n'est pas simple et prend du temps.

Au départ de cent personnes, l'effectif de l'ANSSI atteindra 360 personnes fin 2013, et les recrutements devraient continuer. Que nos effectifs aient ainsi triplé en quatre ans, dans le contexte budgétaire que vous connaissez, dit bien la priorité donnée par le Gouvernement à la sécurité informatique tant la situation est grave.

Quels sont les grands enjeux identifiés lors des travaux préparatoires au Livre blanc et qui devraient trouver leur traduction dans la future loi de programmation militaire ?

Le premier concerne les opérateurs d'infrastructures vitales (OIV). Douze secteurs d'activité d'importance vitale sont identifiés, parmi lesquels la production d'énergie, les transports, les télécommunications, la distribution d'eau, la santé, la finance… – ainsi qu'un peu plus de deux cents opérateurs essentiels à leur bon fonctionnement, dont une bonne moitié est privée. Or, aujourd'hui, la cybersécurité de ces opérateurs ne fait l'objet d'aucune régulation. Alors que l'implantation d'une usine chimique dans notre pays est soumise à une réglementation très stricte, nul ne s'était jusqu'à présent inquiété du fait qu'elle puisse être pilotée par des ordinateurs connectés à Internet sans aucune règle particulière de sécurité, si bien que n'importe quel pirate pourrait en prendre les commandes. L'État ignore leur niveau de sécurité, et leurs opérateurs sont laissés libres en matière de cybersécurité. Nous ne doutons certes pas de leur sérieux mais sous la pression de la concurrence, la recherche de la plus haute sécurité informatique n'est pas nécessairement leur préoccupation première. La volonté du Gouvernement est d'imposer une réglementation en ce domaine.

L'État doit pouvoir édicter des règles que les opérateurs seront tenus de respecter. Je prends un exemple volontairement caricatural, mais qui sera parlant. Il pourrait par exemple être expressément interdit de connecter les commandes d'une centrale nucléaire à Internet. Je vous rassure, dans le cas d'espèce, le problème ne se pose pas.

Il faut également pouvoir imposer à certains opérateurs l'installation de sondes de détection d'attaque informatique, comme il en a été placé aux frontières des réseaux de l'administration. Ces dispositifs de détection relèvent de la souveraineté nationale, au même titre que la cryptographie, et nous devons demeurer autonomes pour leur conception. De même que le concepteur de systèmes cryptographiques est capable d'intercepter et de décoder les systèmes adverses, le concepteur de sondes de détection de cyber-attaques est capable de contourner ces dispositifs de sécurité. Il importe que nous demeurions autonomes dans leur fabrication car ils comportent des informations très sensibles. Si ces informations en fuitant devenaient connues des attaquants, ceux-ci utiliseraient immédiatement d'autres moyens. Il est donc impératif de les garder secrètes.

L'État doit également pouvoir vérifier le niveau de sécurité des opérateurs, qu'il s'en charge lui-même ou qu'il rende obligatoires des audits par des prestataires labellisés. Ces audits auraient pour but de s'assurer que les règles sont bien respectées et de vérifier si les systèmes ne sont pas en danger.

Ensuite, les opérateurs devraient avoir l'obligation de déclarer à l'État les cyber-attaques ayant touché leurs systèmes critiques, entre autres, parce que c'est en analysant certaines attaques qu'on peut en découvrir d'autres. Par ailleurs, si un opérateur dans un secteur donné est attaqué, il y a un fort risque que ses homologues sur le territoire national le soient également. Il est donc essentiel que nous soyons informés en temps réel afin de pouvoir adapter en conséquence nos dispositifs de défense.

Enfin, il faut donner à l'État la capacité, en cas de crise majeure, d'imposer des règles d'action strictes aux opérateurs. Si un incendie menace une voie ferrée ou un axe routier, il est possible de les faire fermer afin de protéger les usagers. Il faudrait pouvoir agir de la même façon en cas de cyber-attaque. Il y va d'ailleurs de la sécurité juridique des décisions prises par les opérateurs pour protéger leurs systèmes, qui peuvent avoir des conséquences sur leur exploitation, et donc financières. Il importe de sécuriser totalement sur le plan juridique une décision radicale comme l'ordre de déconnecter d'Internet une entreprise.

Ces pistes de travail ne sont pas spécifiques à la France. Des réflexions similaires sont en cours en Allemagne et aux États-Unis. Le projet de directive européenne NIS (Network and information security), auquel nous sommes très favorables sur ce point, reprend l'idée d'imposer aux opérateurs des règles minimales. Beaucoup de nos opérateurs critiques opérant également hors du territoire national, il serait utile que les mêmes règles s'appliquent partout. D'une part, cela simplifierait leur tâche ; d'autre part, certains étant présents dans plusieurs pays, leur sécurité repose sur un niveau de protection homogène.

Il importe enfin de sensibiliser à la cybersécurité. En effet, quelles que soient les obligations et les labellisations imposées, si les utilisateurs confient leurs données à n'importe qui et interconnectent leurs systèmes avec n'importe quoi, cela ne servira à rien.

Comme j'aime à le dire, on est aujourd'hui en informatique dans la même situation qu'à la fin du XIXe siècle, lorsque Pasteur découvrait que de nombreuses maladies étaient dues à des microbes et que l'hygiène était donc essentielle pour les combattre. On découvre qu'il faut changer nos comportements et adopter une hygiène informatique. Aujourd'hui, la conception et l'exploitation des systèmes informatiques ne prennent pas assez compte la cybersécurité. Non que les informaticiens, les chefs d'entreprise, les décideurs et les utilisateurs soient inconscients, mais jamais jusqu'à il y a deux ou trois ans, on ne s'en était pas préoccupé. Les ingénieurs ne sont pas formés durant leur cursus à la sécurité informatique, à l'exception de quelques spécialistes, si bien que les systèmes qu'ils conçoivent sont vulnérables à la base. Il est ensuite très difficile de remédier à cette vulnérabilité originelle.

Après une attaque informatique dans une grande entreprise, nous demandons à vérifier le système de gestion des droits d'accès aux messageries afin de vérifier qui pouvait accéder à celle du PDG. On découvre souvent que plusieurs personnes y ont accès : le PDG, sa secrétaire, mais aussi d'autres salariés qui n'ont aucune raison de posséder cet accès. Ce ne sont pas des espions à la solde d'un concurrent, mais tout simplement les pirates informatiques qui utilisent les ordinateurs de ces personnes pour exfiltrer de la messagerie du PDG les informations qui les intéressent. Si, on avait simplement vérifié ces droits d'accès, on se serait rendu compte de l'attaque.

Dans tout système d'information, il existe un mot de passe qui permet d'accéder sans restriction à toutes les données de tous les utilisateurs. La première question que nous posons à un chef d'entreprise est de savoir combien de personnes connaissent ce mot de passe dans son entreprise. Il n'en sait en général rien. Après consultation des directeurs des systèmes d'information, il est arrivé que dans de grandes entreprises, la réponse soit « mille personnes » ! Comment dans ces conditions assurer quelque sécurité que ce soit ? Il suffit qu'une seule de ces mille personnes soit malhonnête ou qu'un pirate s'introduise sur son réseau pour que les données soient détournées. Or, il est possible de ramener le nombre de personnes détenant le mot de passe de mille à dix, sans aucune difficulté et sans aucun coût. C'est là ce que nous appelons l'hygiène informatique. Hélas, ces règles élémentaires ne sont pas enseignées. Les informaticiens ne reçoivent aucune formation en ce domaine, sans parler des chefs d'entreprise et des simples utilisateurs. Que les détenteurs d'une messagerie hébergée à l'étranger ne viennent pas se plaindre si leurs données sont espionnées. Si on détient des informations sensibles, mieux vaut avoir une adresse de messagerie chez un opérateur français, ou à la Poste. C'est sans doute moins « in », mais au moins, c'est la loi française qui s'applique. Un gros travail de sensibilisation, d'éducation et de formation reste à faire. C'est notre deuxième grand objectif, mais nous savons qu'il faudra du temps avant que les comportements ne changent et que ce n'est pas une loi qui réglera le problème.