Intervention de Anne-Yvonne Le Dain

– En ma qualité de scientifique, je souhaiterais vous montrer quelques schémas qui rendent compte de la réelle complexité de ce numérique que nous croyons pouvoir appréhender avec ce que avons sous les yeux. Ce schéma-ci représente le réseau global de l'Internet en Île-de France et vous pouvez noter le noeud dense de ramifications se trouvant sous La Défense. Un spécialiste nous a indiqué que, à cet endroit, une frontière numérique séparait l'Inde de l'Europe du point de vue de la gestion des réseaux numériques, ce qui ne tombe pas sous le sens. La dématérialisation a des conséquences absolument sidérantes.

Cet autre schéma représente les ramifications numériques d'une entreprise avec son centre de gestion, ses activités de production, ses contacts avec l'extérieur, avec ses sous-traitants et leurs propres sous-traitants et, se superposant à tout cela, les multiples connexions, par nature très imprévisibles, réalisées à l'initiative de ses employés.

Il est évident que des liens entre tous ces éléments, de leur continuité, de leur intégrité, dépendent, dans un premier temps, la sécurité numérique, et, bien sûr, ensuite, la protection contre de mauvaises surprises. À cet égard, une des recommandations de vos rapporteurs consiste à couper totalement les SCADA – c'est à dire les systèmes numériques commandant la production – de l'Internet. Cette préconisation peut, à première vue, sembler très exagérée pour beaucoup d'organisations croyant fonctionner parfaitement.

Cependant, pour vous convaincre en un instant de l'utilité de cette recommandation, j'évoquerai simplement l'anecdote rapportée par une personne entendue, à savoir la pénétration du système des SCADA d'un hôpital nord-américain par un adolescent de seize ans qui avait réussi à bloquer la climatisation de cet établissement, et exigeait une rançon pour la rétablir. Cela va au-delà de la simple constatation de l'habileté avérée d'un adolescent face à l'inconscience de l'administration d'un hôpital. La prise en considération du facteur humain est primordiale pour opposer une défense idoine.

Par ailleurs, quand on sait que des logiciels d'attaques informatiques sont maintenant disponibles dans le commerce, donc éventuellement à la disposition d'individus particulièrement malfaisants, le rapprochement de ce fait avec le fait précédent peut conduire à réfléchir.

D'autant que, même si notre rapport a souhaité disséquer, pour ainsi dire, la complexité de la sécurité numérique d'une entreprise, un des constats auxquels vos rapporteurs sont parvenus, mentionné dans le préambule du rapport, est le suivant : au-delà des failles technologiques, les failles humaines entraînent des vulnérabilités plus grandes.

D'où l'effort d'éducation que nous avons déjà évoqué et, plus généralement, une action de sensibilisation massive à mener dont la petite projection du début de notre réunion a montré la nécessité.

En effet, ce film réalisé par le CIGREF à la demande d'une quarantaine d'entreprises internationales est destiné à être diffusé, accompagné d'un test ludique, à destination de tous les employés desdites sociétés avec, évidemment, l'espoir que cette sensibilisation gagne leurs familles et d'autres entreprises, ainsi que les administrations, voire les politiques eux-mêmes.

Trop souvent, les dirigeants des entreprises ne prennent pas assez au sérieux les exigences de la sécurité numérique. Ainsi, l'usage systématique d'un téléphone portable sécurisé est difficile à accepter.

Pour illustrer cette prégnance tous azimuts du risque numérique, nous avons inséré en annexe du tome premier du rapport, un petit questionnaire, imaginé par le même CIGREF, recensant certaines situations quotidiennes liées au numérique et proposant plusieurs réactions possibles.

Il a été remis à chacun d'entre vous les quelques pages de ce jeu-questionnaire et, tout en écoutant avec attention notre présentation à deux voix, vous avez peut-être déjà tenté de déterminer ce qu'aurait été votre attitude numériquement responsable dans tel ou tel cas.

Quand on parcourt l'ensemble de ce questionnaire, chacun ne peut que s'étonner des erreurs de réflexe ou des hésitations à opter pour la bonne option qui auraient constitué autant des failles de sécurité dans la vie quotidienne.

Cela illustre qu'il ne faudrait plus jamais concevoir quelque avancée du numérique que ce soit sans qu'une analyse approfondie ait pu proposer, dans le même temps, des instruments de sécurité. Cet enjeu pourrait, d'ailleurs, constituer une opportunité pour notre économie.

Cela suppose de faire preuve de davantage de cohérence dans la prise au sérieux du concept même de sécurité numérique. Et cela commence au stade de la conception des organigrammes des entreprises, où l'« empêcheur de tourner en rond » que représente souvent le responsable de la sécurité n'est pas situé au bon niveau pour que ses conseils puissent être entendus et acceptés à temps par les dirigeants.

Ces affirmations ne sont pas excessives car des exemples quotidiens montrent que les entreprises n'ont pas encore tiré les conséquences des impératifs que devraient leur dicter la sécurisation numérique de leurs activités.

Dans de nombreuses entreprises, les employés utilisent indifféremment leurs matériels numériques personnels ou professionnels, d'autant que les usages sont de plus en plus nomades. Les accès Internet sont multiples, les personnes séjournant temporairement dans l'entreprise pas assez contrôlées, l'usage des clés USB s'est banalisé et les comportements inconséquents vis-à-vis de l'utilisation des objets connectés sont aussi variés qu'innombrables.

Et des exemples récents montrent que des pirates ou attaquants ont bien compris que les failles du numérique peuvent être d'autant mieux exploités qu'elles sont élargies par les défaillances humaines.

C'est ce que les spécialistes du numérique appellent l'ingénierie sociale associée aux attaques techniques. Tel a été encore le cas, à la fin de l'année 2014, à propos de l'attaque connue sous le nom d'« arnaque au président » où, après une étude poussée des habitudes numériques et des caractéristiques de chacun des protagonistes, un appel téléphonique du supposé président d'une société est adressé, le vendredi soir, à un comptable de cette entreprise pour lui demander d'adresser d'urgence, de la part du président, une somme importante qui permettra d'assurer in extremis, au cours de la fin de semaine, la conclusion d'une négociation déjà bien avancée.

Ce procédé peut vous paraître enfantin voire grossier, mais, à la fin de l'année 2014, l'entreprise Michelin s'est fait piégée à hauteur de 1,6 million d'euros avec cette arnaque.

De nombreux présidents, dirigeants d'opérateurs d'importance vitale ont été sollicités de la même manière et tous n'ont pas eu la chance d'avoir des personnels assez sensibilisés au risque numérique pour ne pas tomber dans de tels traquenards.

Parfois, même si l'attaque n'est pas identifiée immédiatement, il est encore possible d'interrompre les rebonds successifs de pays en pays de l'argent ainsi naïvement remis, mais à condition d'opérer extrêmement rapidement.