Cyberguerre : “Le pire est clairement à venir”

Cyberguerre : “Le pire est clairement à venir”

Image :

Sara Bentot – Konbini

Entretien avec Guillaume Poupard, grand patron de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

À voir aussi sur Konbini

(© Sara Bentot/Konbini)

Konbini | Quelles sont les principales cybermenaces qui pèsent sur la France ?

Guillaume Poupard | Il s’agit de toutes les atteintes qui incluent de l’informatique ou du numérique. On peut parler de “sécurité numérique”, de “cybersécurité”, on appelle cela comme on veut. Il s’agit notamment de vol de données. Le vol de données personnelles est devenu monnaie courante.

Malheureusement, il y a des conséquences potentiellement très graves pour les victimes : ça peut aller jusqu’à de la falsification d’identité. À l’échelle d’un pays comme la France, les vols massifs peuvent vraiment avoir de très grandes conséquences. Ce vol de données a lieu à des fins de renseignement ou d’espionnage…

De l’espionnage de quoi ?

De l’espionnage d’entreprise notamment. Les espions veulent voler des données techniques, commerciales, stratégiques. Ils vont lire les mails des dirigeants, des uns et des autres. Et tout de suite, ça donne un avantage concurrentiel vraiment énorme. Évidemment, la même chose peut s’appliquer au niveau de l’État, qui peut également se faire attaquer à des fins d’espionnage.

“Il n’y a pas l’informatique d’un côté et le réel de l’autre. Tout est interconnecté.”

La troisième grande menace, probablement la plus inquiétante pour nous, c’est la guerre numérique qui est en train de se préparer. Les guerres de demain auront aussi lieu dans le monde informatique avec des conséquences qui peuvent être très graves. Il n’y a pas l’informatique d’un côté et le réel de l’autre. Tout est interconnecté.

Par l’informatique, on peut éteindre des usines, on peut potentiellement les faire exploser. Notre priorité à l’ANSSI consiste à protéger les infrastructures critiques : énergie, communications, transports, toutes les industries sensibles. Le travail sur la cybercriminalité est plutôt confié aux ministères de l’Intérieur et de la Justice, même si on travaille étroitement avec eux.

Dernière menace apparue récemment : la tentation de certains États de manipuler l’opinion publique, de manipuler les élections par exemple. On a par exemple vu ça aux États-Unis en 2016. On doit se protéger contre des attaques informatiques qui portent atteinte à l’intégrité des élections.

“On est ciblé par de l’espionnage, comme tout le monde.”

Concernant la France, y a-t-il des menaces particulières ?

Il n’y a pas vraiment d’exceptions françaises. On est ciblé par de l’espionnage, comme tout le monde. Nos processus démocratiques sont ciblés pour des raisons géopolitiques. On a encore beaucoup d’activité économique et ça donne autant de cibles potentielles. La menace n’est est pas spécifiquement française, on la partage avec tous nos alliés, mais elle est réelle, on ne peut pas le nier.

“Aujourd’hui, on détecte des attaques dont on ne connaît pas l’objectif.”

En France, on est mieux préparés que d’autres pays comparables ?

On a l’avantage d’avoir développé des compétences dans ces trois segments : l’anticipation, la détection des attaques et la capacité à réagir. Depuis la loi de programmation militaire de 2013, on oblige les acteurs les plus critiques à faire de la sécurité. Ils sont obligés de travailler avec l’ANSSI. On a donc un certain avantage concurrentiel.

L’Allemagne nous a d’ailleurs emboîté le pas avec sa propre ANSSI, l’Office fédéral de la sécurité des technologies de l’information (BSI). Une directive européenne [la directive NIS, ndlr] impose désormais aux autres pays de faire ce que la France et l’Allemagne font. Sans compter sur le fait qu’on a des industriels qui sont capables de proposer des services de sécurité.

Vous pensez à qui ?

Les grands comme Thalès, Airbus ou Orange. Ils vendent des logiciels, des produits, des services de détection d’attaques.

Vous avez récemment parlé “d’attaques inexplicables qui nous ciblaient. Pourquoi cet adjectif flippant ?

Aujourd’hui, on détecte des attaques dont on ne connaît pas l’objectif. Ce sont des attaques de haut niveau sur des systèmes sensibles qui n’ont pas forcément de données intéressantes. Donc la seule motivation possible, c’est de préparer du sabotage. Ils sont dans une phase initiale de cartographie, ils positionnent des “agents dormants”. Ce sont des scénarios catastrophe qu’on commence à préparer.

Est-ce que vous trouvez qu’on vous écoute assez ?

Je ne serai jamais satisfait. On ne m’écoute jamais assez ! En réalité, il y a des niveaux de maturité différents selon les acteurs. Certains ont totalement compris comme les ministères régaliens, l’armée, les banques. Il y en a d’autres qui découvrent le risque. On a dépassé le stade de la prise de conscience. Il faut maintenant trouver des solutions concrètes. Je ne suis jamais content, mais on est écoutés.

Est-ce qu’il faudrait une petite formation sécurité obligatoire pour les écoliers, un peu comme le permis scooter ?

La question de la formation est essentielle. Il faut développer la sécurité dans les formations au numérique en général. Pour attirer les gens dans ces filières, il faut leur en parler avant. Et ce au lycée, au collège, parce que les bons réflexes se prennent tôt. Les jeunes connaissent les mots du numérique, mais pas forcément la sécurité.

“Mes mots de passe ? J’essaie de mettre au moins huit caractères.”

On travaille étroitement avec l’Éducation nationale aujourd’hui. La cybersécurité est déjà dans les programmes scolaires, mais elle n’est pas vraiment enseignée car il n’y a pas de matières propres ou alors les professeurs ne savent pas faire, malgré l’enthousiasme de certains d’entre eux. Nous allons travailler avec le laboratoire de l’innovation de l’Éducation nationale.

Il faut apporter le savoir-faire tout au long de la scolarité au juste niveau. Aux élèves de 6e, on peut parler des mots de passe et des risques sur les réseaux sociaux par exemple. On voudrait aussi que les plus jeunes forment les plus anciens. Quant à l’obligation, il faut voir ce que ça veut dire, mais si c’est dans un programme général, alors oui.

Il y a par exemple un cahier de vacances qui a été fait par Issa France avec des jeux et des exercices. C’est évidemment comme ça qu’il faut enseigner la sécurité.

Couverture du cahier de vacances proposé par l’association Issa France.

Parlons un peu de votre hygiène informatique. Il y a combien de caractères, en moyenne, dans vos mots de passe ?

Dans les miens ? J’essaie d’en mettre au moins huit. Je suis très vigilant sur les mots de passe des comptes à risque, surtout ceux de messagerie. Si vous le perdez, vous perdez tous les autres en cas de récupération. Celui-là, il ne faut pas le négliger. Pour les sites sur lesquels j’achète une paire de chaussures ou un bouquet de fleurs, j’avoue que je suis moins vigilant, je ne fais pas un effort comparable.

Au total, j’ai plein de mots de passe différents, mais pour être capable de les mémoriser, j’avoue qu’il y a des points communs entre les mots de passe peu sensibles. J’ai un petit carnet sur lesquels ils sont marqués.

Vous êtes sur PC ou sur Mac ?

Je suis plutôt sur tablette. J’utilise principalement un iPad. Et j’utilise un peu mon PC sous Windows.

Vos téléphones ?

J’ai deux téléphones. Un téléphone perso qui n’est pas plus sécurisé que celui de quelqu’un d’autre, et un téléphone de travail plus sécurisé, avec un OS “durci”. Cette séparation est importante.

Vous n’avez pas le super téléphone secret défense Teorem que possédait Benalla ?

J’en ai un aussi. C’est encore autre chose. C’est un outil très professionnel, très particulier, qui sert juste à téléphoner.

“Le président de la République a tout à fait le droit d’avoir une adresse mail.”

Très récemment, on a appris que l’adresse Gmail d’Emmanuel Macron aurait été piratée. Le président peut-il utiliser Gmail ?

Le président de la République a tout à fait le droit d’avoir une adresse mail – d’ailleurs largement connue. Ce qui est très important, et je sais qu’avec lui il n’y a aucun souci, c’est de faire la distinction des usages. Utiliser Gmail pour parler de choses sensibles, c’est une erreur absolue. Et c’est valable pour tout le monde.

Me concernant, il y a des choses que j’envoie avec mon mail perso sans problème. Il y en a d’autres que j’envoie avec mon smartphone sécurisé. D’autres encore que je n’envoie même pas par téléphone : je prends rendez-vous avec les personnes pour leur dire ce que j’ai à leur dire. Il faut doser le niveau de sécurité.

“Regardez les James Bond.”

Emmanuel Macron, c’est un “digital native”, il sait manipuler le numérique. J’aimerais bien être certain que tous les ministres ont la même aisance. Mais je ne vous donnerai pas de noms, et je vous remercie de ne pas les demander. Je ne dirai rien.

Vous êtes plutôt Le Bureau des légendes ou Mister Robot ?

Le Bureau des légendes. C’est passionnant. On est pris, c’est bien fait. J’ai vu largement pire dans des séries américaines avec des experts cyber.

Est-ce qu’il y a un film, un livre ou un documentaire que vous nous recommandez de regarder ?

Regardez les James Bond, c’est de l’anticipation et ils sont meilleurs que nous dans ce domaine. J’aime bien celui où le bateau en mer de Chine a un GPS trafiqué par le magnat des médias [il s’agit de Demain ne meurt jamais, ndlr].

Le vrai Sea Shadow (IX-529) qui a inspiré celui de <em>James Bond</em>. (© US Navy employee/Wikimedia Commons)

“Par rapport à 2018, je suis plus inquiet.”

Quel est votre état d’esprit par rapport à la même date, un an avant, en 2018 ?

Je suis plus inquiet. Le cyberespace devient un espace de confrontation, les États se préparent à faire la guerre. On n’a pas encore vécu de grandes attaques. Le pire est clairement devant nous. Plus je vois l’étendue de ce qui est faisable, plus je suis inquiet sur les conséquences que ça aura.

En France ?

En France ou ailleurs, le problème est qu’il n’y a plus de frontières. On l’a vu il y a un peu plus d’un an au printemps 2017 avec WannaCry et NotPetya, logiciels destinés à des fins malveillantes. Pour NotPetya, c’était l’Ukraine qui était ciblée au départ. En pratique, on a eu des victimes dans l’ensemble du monde. S’imaginer que ça va rester cantonné à un seul pays, c’est une erreur.

Il faudra d’autres attaques comme ça pour que tous les grands États se mettent sérieusement autour de la table pour réfléchir aux règles de cybersécurité dans le cyberespace. On en parle déjà, mais pour l’instant, les gens préparent plus la guerre que la paix.

“Les actes terroristes actuels sont très rustiques. Ce n’est pas du tout du terrorisme technologique.”

Votre pire cauchemar qui vous réveillerait en pleine nuit ?

Des atteintes aux secteurs les plus critiques comme le domaine énergétique. Mettons que vous n’ayez plus d’électricité. Vous mesurez facilement les conséquences. Elles sont immédiates et catastrophiques pour tous les secteurs de la vie. Les télécoms aussi, pour les mêmes raisons. Avec la 5G, beaucoup de choses seront dépendantes de ce réseau-là.

Les transports m’inquiètent beaucoup aussi. Les actes terroristes actuels sont très rustiques, ne sont pas du terrorisme technologique. Si demain quelqu’un réussit à faire dérailler un train ou à faire crasher un avion par des moyens cyber, l’effet terroriste sera absolument monstrueux. Cela ne veut pas dire que ça va se produire. Mais il faut mettre toute l’énergie possible pour ne pas que ça se produise.

Vous établissez donc des scénarios catastrophe ?

Tout à fait. On fait la liste de tous les secteurs les plus critiques, tout y passe. On fait même des exercices à l’échelle nationale, comme les pompiers, pour être le plus prêt possible. Un incendie, si vous mettez cinq minutes à intervenir ou si vous mettez une heure, les conséquences sont sans commune mesure. En cyber, c’est exactement la même chose.

“Le meilleur spécialiste du fonctionnement d’un hôpital, c’est celui qui travaille dans l’hôpital, même s’il ne travaille pas dans la cybersécurité.”

On peut avoir un exemple de scénario ?

S’il n’y a plus d’Internet demain, les gens pensent qu’ils ne pourront plus lire leurs mails, ils se disent que ça ne sera pas grave. Mais quand on regarde dans le détail, on se rend compte que la plupart des activités sensibles ont besoin d’Internet.

Les hôpitaux continueraient-ils de fonctionner ? Un chirurgien, de prime abord, pourrait dire : “Je n’ai pas besoin d’Internet pour opérer un patient.” Mais quand on creuse un peu, on se rend compte qu’il n’y a pas que le chirurgien face au malade, il y a le fonctionnement, tous les équipements de radio, les scanners, les chaînes de décontamination, autant de chaînes logistiques qui dépendent d’Internet.

Tout cela s’anticipe. Mais il n’y a pas de remède magique ou original. Il faut tout faire pour qu’Internet soit le moins vulnérable possible. Et il faut que tous les secteurs critiques aient une réflexion sur leur dépendance à Internet.

De manière très barbare, on parle des “plans de continuité d’activité” et des “plans de reprise d’activité”. On veut responsabiliser les professionnels dans chacun des métiers. Le meilleur spécialiste du fonctionnement d’un hôpital, c’est celui qui travaille dans l’hôpital, même s’il ne travaille pas dans la cybersécurité.

Êtes-vous pour la levée de l’anonymat sur les réseaux sociaux ?

Il faut bien poser la question. Sincèrement, la haine qu’on voit se déverser sur les réseaux sociaux est choquante. Dans la rue, la loi est très claire, c’est pénalisé. Sur Internet, tout un chacun se permet parfois des choses totalement inacceptables. Il y a probablement trop d’anonymat. Et en même temps, je suis assez sensible à l’anonymat.

Je ne voudrais pas qu’il faille s’identifier de manière forte pour poster sur Twitter, ce n’est pas ça l’informatique dont on rêve. Il y a vraiment sur un équilibre à trouver. J’ai un ami qui disait : “Je suis d’accord pour qu’on interdise la vente de cigarettes au moins de 18 ans, mais je suis contre le fait qu’il faille systématiquement montrer une carte d’identité pour acheter des paquets de cigarettes.”

“Que chaque Français m’accorde dix minutes de son temps !”

Sur les réseaux sociaux, il y a des vrais problèmes de modération avec un vrai sentiment d’impunité. Mais ça m’embête un petit peu que les grandes plateformes se mettent à faire la police. C’est vraiment un sujet complexe. Et je dis toujours qu’il n’y a pas de réponse simple à des problèmes compliqués.

À quoi pourrait ressembler l’anti-virus personnel de demain ?

Je vais vous surprendre, mais les OS d’aujourd’hui ne sont pas trop mal faits si vous cochez toutes les options de sécurité. Il faut faire des mises à jour systématiques, mettre des mots de passe forts, ne pas se faire localiser par les éditeurs et décocher tout ce genre de cases. Quand tout cela est fait, le résultat n’est pas si mal.

Terminons par un exercice de pensée. Si un génie se matérialisait devant vous et vous disait : “Monsieur Poupard, vous pouvez faire un vœu pour la cybersécurité des Français mais juste un seul”, ce serait quoi ?

Ce serait que chaque Français m’accorde dix minutes de son temps, tous nos concitoyens mais aussi les patrons du CAC40. Si le génie est puissant, je leur délivrerai un message personnalisé.

L’interview a été réalisée à Lille dans le cadre du Forum international de la cybersécurité, qui s’est tenu à Lille les 21 et 22 janvier derniers.