Par le passé, les virus et les attaques informatiques tenaient plutôt de la revendication ou de l'exploit : des messages s'affichaient à l'écran, des sites internet étaient affectés. Aujourd'hui, les virus repèrent dans un ordinateur ou un réseau informatique les données importantes, les chiffrent de manière très robuste, et exigent une rançon des victimes pour leur rendre leurs données. Il s'agit de petites sommes, de l'ordre de 1 000 euros. Mais pour une PME, entre payer 1 000 euros et perdre toutes ses données, il n'y a pas de doute, elle va payer. Toutes ces petites sommes additionnées à l'échelle internationale représentent des volumes colossaux. L'ordre de grandeur des revenus est plutôt de l'ordre du milliard d'euros. Nous avons vu des campagnes toucher des hôpitaux ; un hôpital américain, notamment, a reconnu avoir payé 17 000 dollars. À l'échelle du budget d'un grand hôpital, cette somme ne représente rien, et cela prouve que les victimes paient assez facilement pour récupérer leurs données. Mais dans certains cas, même après qu'elles ont payé, on ne les leur rend pas… et certaines PME mettent la clé sous la porte car elles n'arrivent plus à accéder à leurs données. Pour beaucoup de PME des nouvelles technologies, la richesse, ce sont les données, et les perdre est dramatique.
Ce type de criminalité en développement impose de trouver des moyens de protection adaptés aux PME, ce qui n'est pas forcément du ressort de l'ANSSI, de mener des actions de sensibilisation et de les convaincre d'adopter une démarche saine pour leur usage du numérique, car les conséquences peuvent être dramatiques.
Le deuxième type de menaces est très peu abordé, bien que l'ANSSI ait beaucoup de cas graves à connaître, car les victimes ne souhaitent pas communiquer ; il s'agit du vol d'informations, de l'espionnage ou de l'intelligence économique. Le scénario est toujours le même : des attaquants, plutôt compétents et organisés, entrent dans un système d'information pour y voler des informations : le contenu des messageries des dirigeants, des plans, des éléments techniques, des éléments commerciaux, des réponses à des appels d'offres. Il s'agit d'espionnage économique classique, porté à une échelle industrielle.
Les conséquences sont très graves pour les sociétés : si les bons systèmes de détection d'attaques ne sont pas installés, les entreprises risquent de s'en rendre compte seulement longtemps après. La plupart du temps, les victimes sont de grandes entreprises cotées au CAC 40, et l'espionnage est repéré deux ou trois ans plus tard. Parfois même, il n'y a plus de traces, mais on comprend que l'assaillant lisait déjà à livre ouvert dans les réseaux informatiques de la société il y a plusieurs années.
Il est très difficile d'en estimer les conséquences économiques, mais les entreprises victimes comprennent soudain pourquoi c'est un concurrent qui a gagné un marché, pourquoi un produit a été sorti qui ressemblait étrangement à leur plan secret… Dans le monde feutré du renseignement économique, on n'en parle pas, mais cette guerre souterraine fait rage, probablement avec des conséquences dramatiques sur notre économie. Là encore, donner des chiffres est difficile : on dénombre une vingtaine d'attaques majeures par an, qui donnent lieu à une opération de l'ANSSI. Cela veut dire que les conséquences sont graves, même si nous ne sommes pas en mesure de les chiffrer précisément.
Le troisième cas constitue la priorité de l'ANSSI, de par notre rattachement au Secrétaire général de la défense et de la sécurité nationale (SGDSN) : je veux parler des risques non sur les données, mais sur le fonctionnement des systèmes d'information. Aujourd'hui, tout est numérique, tout est informatisé, et ce qui ne l'est pas est en passe de le devenir. Le risque est celui d'attaques contre les secteurs d'activité d'importance vitale : les transports, l'énergie, les télécoms, la finance, les réseaux de distribution, l'industrie, la santé, etc. L'objectif de ces attaques n'est plus de voler des informations, mais de provoquer des dysfonctionnements, la destruction ou encore d'utiliser ces systèmes contre nous. La Direction générale de l'armement travaille beaucoup sur la possibilité que nos armes soient demain retournées contre nous ; un tel scénario ne peut être écarté si nous n'y prenons garde.
Ce type d'attaques s'est peu produit depuis 2013 ; nous n'en avons connu qu'une seule, contre TV5 Monde. Un acteur manifestement compétent est entré au sein du réseau informatique de TV5 Monde, a cartographié ce réseau pendant deux mois, et a déclenché l'attaque d'un seul coup. Tous les équipements de production audiovisuelle de TV5 Monde ont été détruits en très peu de temps. Heureusement que les informaticiens de TV5 étaient sur place et ont eu le bon réflexe d'arracher tous les câbles – ce n'est pas toujours la chose à faire, ça l'était en la circonstance – ce qui a limité les conséquences. Toutefois, TV5 Monde a été entre la vie et la mort d'un point de vue informatique pendant plusieurs mois, le coût a été très élevé, et ils sont maintenant obligés de se protéger. Ce fut pour eux un véritable traumatisme.
Nous pouvons malheureusement imaginer que de tels cas se reproduisent dans de nombreux secteurs, et c'est ce que nous redoutons désormais. L'ANSSI réalise de nombreux d'audits, en coopération avec les acteurs qui prennent conscience de ce risque, et ils ne sont malheureusement pas de nature à rassurer. La plupart du temps, la conclusion de ces audits est que pénétrer les réseaux et y provoquer des dommages très graves est possible. Bien évidemment, tout n'est pas accessible au pirate du coin, mais nous n'en sommes pas moins inquiets.
D'autres attaques, qui peuvent être le fait des mêmes acteurs, portent sur le fonctionnement même de notre démocratie. L'exemple des élections américaines est intéressant de ce point de vue : c'est la première fois qu'une attaque informatique est utilisée à des fins de déstabilisation. On ne saura jamais si le résultat de l'élection a été faussé du fait de cette attaque, mais de fait, des attaquants ont volé des messages électroniques du comité démocrate et les ont publiés dans l'intention de nuire. Il est même possible que des faux aient été glissés parmi ces messages : comment prouver que ceux-ci sont faux et ceux-là vrais ? Il s'agit vraiment de guerre de l'information, aux conséquences potentielles très graves. Nous y pensons très sérieusement dans le cadre des élections qui vont avoir lieu en France, car ce qui a été perpétré aux États-Unis peut l'être de nouveau en France, par les mêmes acteurs ou par d'autres. Maintenant que l'idée a été donnée, les attaquants vont rivaliser d'idées.
Il y a donc beaucoup d'attaques, de nature variées. Parmi les cyberattaques, certaines sont des coups d'épingles, d'autres auraient des conséquences dramatiques. Il est important de chercher à s'en prémunir au mieux et, lorsqu'il est trop tard, d'être capable de réagir au plus vite pour ne pas se rendre compte que l'on s'est fait piller seulement au bout de trois ans.
Pour répondre à ces menaces, la France compte certains atouts. Sans verser dans l'autosatisfaction, nous pouvons nous féliciter de certains choix qui ont été faits par le passé, et qui se sont révélés judicieux.
Ainsi, l'organisation mise en place pour faire face à ces menaces nouvelles responsabilise l'ensemble des acteurs concernés. Aujourd'hui, beaucoup de ministères ou d'administrations peuvent jouer un rôle dans la cyberdéfense.
C'est bien évidemment le cas du ministère de la Défense pour la protection de certains systèmes très originaux tels que les systèmes d'armes ou les systèmes déployés en opérations extérieures, mais également dans le renseignement et le développement des capacités offensives.
Le ministère de l'Intérieur a également un rôle à jouer dans la lutte contre la cybercriminalité, qui reste une forme de criminalité.
Le ministère des Affaires étrangères est également concerné, car les questions diplomatiques ont une grande importance. Nous sommes amenés à traiter avec des alliés, ou avec d'autres États qui ne le sont pas, mais nous savons que tout le monde peut nous attaquer à un moment ou un autre, y compris nos alliés les plus proches. Les questions diplomatiques sont donc des enjeux de premier plan. En cas d'attaque majeure, il faut pouvoir mettre en oeuvre des processus permettant la désescalade, et je ne suis pas sûr que nous en disposions aujourd'hui. À l'instar de ce qui existe dans le domaine nucléaire ou militaire, on a besoin de dispositifs permettant de se parler en temps de crise.
Le ministère des Finances a également compris qu'il était directement concerné. Aujourd'hui, notre économie est la première victime des attaques informatiques. De plus, la France est bien placée dans le domaine de la cyberindustrie, qui est pour elle une chance de développement économique.
De plus en plus d'autres ministères viennent également à ces questions. Le choix a été de laisser chacun dans son champ de responsabilité et de compétence, mais de prévoir une agence interministérielle, en l'occurrence l'ANSSI, pour coordonner ces actions, définir la stratégie pour le compte du Premier ministre et mener en propre certaines actions mutualisées. Ainsi, l'ANSSI est à la manoeuvre pour tout ce qui concerne la prévention, la définition de la réglementation, la détection des attaques et la capacité à réagir pour les victimes les plus sensibles. Nous disposons des capacités opérationnelles de très haut niveau ; l'ANSSI a probablement les meilleurs experts pour porter assistance à des victimes. Cela requiert une expertise très particulière, qui est encore très rare.
Ce modèle est certainement assez bon. L'existence d'une agence interministérielle permet de ne pas être cantonné au champ de compétence d'un ministère et d'une activité donnée. Peu de pays ont adopté cette approche interministérielle. En Allemagne, le BSI (Bundesamt für Sicherheit in der Informationstechnik) dépend du ministère de l'Intérieur, ce qui présente certains avantages, mais aussi beaucoup d'inconvénients.
Un autre avantage de notre organisation est la séparation très stricte entre l'attaque et la défense. Dans l'attaque, je range le renseignement et l'offensif pur. Nous avons fait le choix de séparer les deux, ce qui ne veut pas dire que nous ne savons pas nous parler, mais il faut que les missions soient claires et qu'il n'y ait pas de conflits d'intérêts. Nos alliés anglo-saxons ont fait le choix de confier la cyberdéfense à ceux qui au départ savaient faire, c'est-à-dire aux agences de renseignement technique, qui avaient été les premières à développer ces compétences. Cela pose des questions : aux États-Unis, lorsque la NSA (National Security Agency) arrive, on ne sait jamais vraiment qui est derrière. D'ailleurs, je pense que la NSA elle-même ne sait pas exactement quelle est sa mission… Au Royaume-Uni, la situation est proche, même si elle se clarifie. En France, nous savons que l'ANSSI a une mission purement défensive et protectrice, elle ne fait pas de renseignement ni d'attaque.
Cela n'empêche pas l'ANSSI d'échanger avec l'ensemble des services, notamment les services techniques. Nous assumons pleinement ces liens, et je suis friand de tous les éléments que les services de renseignement peuvent apporter concernant les attaques en cours ou en préparation, ou en matière d'attribution. Nous ne nous chargeons pas de l'attribution, mais les services de renseignement, en croisant différents types de sources, peuvent parfois savoir d'où viennent les attaques, même si c'est compliqué en pratique.
À mon avis, ce choix n'est pas à remettre en cause. Je suis évidemment juge et partie, mais je crois c'est une force de notre modèle d'assigner des missions claires à chacun et de permettre une collaboration vraiment efficace avec les autres entités.
Notre autre chance est d'avoir décidé très tôt qu'au vu de l'importance de la cybersécurité, il n'était plus possible de se contenter de donner de bons conseils. Les bons conseils trouvent leurs limites, notamment vis-à-vis des grands acteurs économiques, car il y a toujours mieux à faire avec l'argent. Les investissements en cybersécurité ne sont pas directement productifs ; tant que c'est une option, il est tentant de les reporter à l'année suivante. La France a fait le choix, qui s'est traduit dans la loi de programmation militaire de décembre 2013, de faire de la cybersécurité une obligation pour les opérateurs d'importance vitale. En 2013, mon prédécesseur était tenu de prendre beaucoup plus de précautions oratoires… Il a fallu deux ans de dialogue avec les opérateurs d'importance vitale – on en compte deux cent trente, parmi les acteurs les plus sensibles pour la sécurité de la nation – pour nous mettre d'accord. Mais le caractère obligatoire a été un moyen formidable de discuter avec ces acteurs.
Aujourd'hui, l'article 22 de la loi de programmation militaire nous permet d'imposer des mesures de sécurité qui placent les opérateurs d'importance vitale à un niveau de cybersécurité assez inédit en France ou à l'étranger. Au lancement de cette mesure, nos partenaires nous disaient que c'était la bonne manière de faire, mais qu'elle ne marcherait jamais, car les lobbies et les industriels allaient tout bloquer. Les Américains avaient déjà tenté une démarche similaire, mais les lobbies avaient gagné et rejeté cette approche réglementaire au profit des best practices. Les Allemands aussi ont trouvé que ce que nous faisions était intéressant, mais que ce n'était pas possible chez eux, et les Britanniques de même. De fait, tous se sont rendu compte que cette solution fonctionnait, et leur attitude est en train de changer. En Allemagne, une loi similaire à la nôtre permet d'imposer la sécurité aux grands opérateurs, mais de manière plus cloisonnée. Surtout, en Europe, la directive Network and Information Security (NIS), sur la sécurité des réseaux, reprend ces idées. Ce n'est pas le fruit du hasard : nous avons beaucoup discuté avec la Commission européenne, qui était très intéressée par ces questions.
Identifier des acteurs critiques et leur imposer la sécurité va devenir la règle en Europe. Ce sera le cas lorsque la directive sera transposée partout, en mai 2018. Cela n'empêchera pas les attaques, mais nous avons enclenché une dynamique positive, permise en France par cet article 22 de la loi de programmation militaire.
D'autres articles importants figurent dans cette loi. Nous avons pris soin de bien profiter de tout ce que nous permettait ce texte, notamment en prenant toutes les mesures réglementaires d'application. Ainsi, l'article 21 nous permet une défense active : en cas d'attaques, différents services, dont l'ANSSI, ont le droit de se connecter aux machines qui nous attaquent. Dans beaucoup de pays, cette exception aux règles existantes pour empêcher les attaques informatiques est impossible. D'autres éléments nous permettent de mener une cyberdéfense efficace, sans léser personne.
Après avoir beaucoup travaillé au niveau national, nous travaillons au niveau européen. Les grands acteurs ne sont pas français, mais au minimum de taille européenne, et ils craignent que des règles contradictoires soient édictées dans les différents pays, ce que personne ne souhaite. La directive NIS va aider à harmoniser les législations par-delà les frontières, qui n'existent plus dans le domaine numérique. Plus généralement, il est nécessaire de disposer d'une industrie européenne dans le domaine de la cybersécurité. Elle est encore très segmentée par pays, voire complètement inexistante dans certains pays. Pour développer de tels acteurs au niveau européen, nous avons travaillé avec la Commission à la mise en place d'un partenariat public-privé permettant de flécher des fonds de recherche européenne – le programme Horizon 2020 – afin de promouvoir la recherche et le développement dans le domaine de la cybersécurité. Il est nécessaire de mettre en place une telle industrie pour développer l'autonomie stratégique européenne – manière diplomatique de dire que nous ne voulons pas dépendre totalement de nos alliés américains en termes de solutions de sécurité.
Une réflexion sur le droit international et la cybersécurité est en cours. Des réflexions ont été développées, principalement dans le domaine militaire, pour savoir comment faire la guerre dans le cyberespace. Cette question a notamment été portée par les Estoniens dans le centre d'excellence de Tallinn. Le manuel de Tallinn commence à codifier le droit de la guerre dans le cyberespace, mais il est aussi important de se demander comment faire la paix dans le cyberespace, comment y garantir une stabilité, quel droit international y appliquer. De nombreuses questions sont soulevées, car des notions qui nous paraissent évidentes doivent être redéfinies pour s'appliquer au monde numérique.
Ces questions seront abordées lors d'un grand colloque international à l'UNESCO au début du mois d'avril, de manière à ce que les différents grands pays – États-Unis, Chine, Russie - puissent venir parler de stabilité dans le cyberespace. Nous préparons ces travaux avec des juristes qui réfléchissent à la redéfinition des notions. Il faut éviter que le cyberespace de demain ne se transforme en un Far West où tout le monde porterait un colt à la ceinture, mais sans que l'on puisse trouver un smoking gun ; ce colt-là ne laisserait s'échapper aucune fumée trahissant son usage… Voilà le risque qui menace le cyberespace si l'on laisse les acteurs privés se faire justice eux-mêmes ou y défendre leurs intérêts. Si l'ensemble des acteurs privés se mettait à se comporter ainsi, nous connaîtrions un chaos numérique extrêmement inquiétant pour le développement numérique, qui reste le sens de l'histoire.