Publicité

Guillaume Poupard : "Nous vivons dans un monde où le combat numérique va prendre une place croissante"

Par
Après 8 années à la tête de l'Anssi, l'Agence nationale de sécurité des systèmes d'information, Guillaume Poupard quittera ses fonctions l'été prochain.
Après 8 années à la tête de l'Anssi, l'Agence nationale de sécurité des systèmes d'information, Guillaume Poupard quittera ses fonctions l'été prochain.
© Maxppp - Vincent Isore / IP3

Il avait fini par incarner le visage de la cyber en France : Guillaume Poupard quitte son poste de directeur-général de l'Anssi l'été prochain, où il avait été nommé en 2014. Il revient sur son expérience à la tête de l'organisation gouvernementale et livre son diagnostic sur les années à venir.

Il est venu pour la dernière fois au Forum international de la cybersécurité (FIC) à Lille en tant que chef de l'Anssi. Guillaume Poupard occupait le poste depuis 2014. En première ligne face aux cyberattaques criminelles et étatiques pendant ces huit ans, il livre à France Culture son diagnostic sur les années passées et sur les défis à relever pour faire face à la menace, qui ne cesse d'augmenter.

C'est votre dernier FIC en tant que directeur général de l'Anssi. Comment résumez-vous les huit années passées à la tête de cette institution ?

Publicité

Avec ce recul de huit ans, on constate malheureusement un accroissement incroyable des menaces. Dans le domaine criminel, on constate aujourd'hui une sorte de stabilisation du nombre d'attaques mais à un niveau qui demeure élevé, ce qui n'est pas du tout satisfaisant, et avec des victimes qui sont de plus en plus des entreprises de taille intermédiaire. Ces événements sont moins spectaculaires quand ils se produisent mais pour ces victimes là, les conséquences peuvent être dramatiques. Les cas sont parfois absolument incroyables : depuis maintenant plus d'un mois, on a un pays comme le Costa Rica qui se retrouve à genoux du fait d'attaques criminelles. Le but n'est manifestement pas politique : ce sont des groupes criminels qui font chanter des états entiers. Donc on voit bien qu'on n'est pas au bout de l'aventure cyber et qu'on aura probablement encore des surprises dans les années à venir.

L'autre grande crainte que l'on a est clairement autour de l'espionnage. Cela existait déjà il y a huit ans mais aujourd'hui, on a de la part de certains grands adversaires une démarche complètement débridée autour des questions d'espionnage, avec des moyens considérables. Et la très grande peur que l'on a, si on veut aller jusqu'au bout de la logique, c'est le jour ou ces moyens d'espionnage seront transformés en moyens offensifs : les conséquences peuvent être dramatiques pour des pays comme la France, pour des des continents comme l'Europe. Et aujourd'hui, la pire des erreurs serait de pécher par excès d'assurance sur ces sujets là. Donc ça va rester un sujet majeur. On pourra faire des choix importants en termes de ressources, de moyens, d'engagement, comme c'est le cas déjà aujourd'hui. Je suis très satisfait de ce qui s'est passé pendant huit ans en termes de ressources et de volonté politique d'avancer sur le cyber. Mais on ne pourra pas s'arrêter là.

Vous faites référence à ce qu'on appelle les APT, les "menaces persistantes avancées" ("Advanced persistent threats"), ces groupes de cyberattaquants de très haut niveau soutenus par des États. On divise habituellement leur activité dans deux cases : espionnage et sabotage. Mais vous faites clairement un lien entre ces deux capacités ?

Il existe deux types d'attaquants. Il y a des attaquants de niveau criminel qui s'avèrent des équipes très agiles, plutôt compétentes techniquement, mais avec des moyens qui restent contenus. Et en face, on a des grands services étatiques ou des gens qui travaillent avec des moyens considérables pour des grands États et ont des moyens qui, évidemment, leur donnent un avantage considérable. Aujourd'hui, la finalité de ces attaquants étatiques s'exprime plutôt en matière d'espionnage : ils font du vol de données, ils cherchent à accéder à l'information là où elle se trouve. On est vraiment au fondement même de l'espionnage. Mais avec ces mêmes compétences techniques, il n'est pas beaucoup plus compliqué d'obtenir des effets, y compris des effets physiques destructeurs sur des systèmes numériques. Ce n'est pas beaucoup plus compliqué et j'ai même tendance à penser que c'est plus simple. Car, lorsque l'on regarde les grandes étapes d'une attaque informatique : l'intrusion initiale dans un système, la propagation puis l'obtention de droits pour pouvoir agir sur les réseaux, on se rend compte qu'il est plus simple de détruire des données que de les voler. Il suffit de prendre le contrôle du système. Ce n'est pas un problème de compétences techniques : c'est un problème de motivation de la part des attaquants. Donc voilà, notre grande crainte, c'est que les forces déjà existantes un jour soient réorientées vers de l'action que je qualifierais de militaire avec des guillemets, mais cela y ressemble étrangement. Ce qui pourrait avoir des effets encore bien plus graves sur nos intérêts.

Vous sous-entendez qu'on n'a pas encore vu à quel point le cyber peut être destructeur ?

Il faut être très modeste. Le cyber est un domaine qui est tout nouveau. Il y a 20 ans, ça n'existait pas. Le mot même n'était pas utilisé, ou très peu. C'était anecdotique. Les premières très grandes attaques ont eu lieu il y a moins de dix ans et depuis, ça ne fait que s'accroître. Et pendant ce temps là, les Etats se sont organisés, ont développé des capacités offensives : les grands Etats évidemment mais les petits aussi, parce que ce sont des armes qui ne coûtent pas si cher. C'est beaucoup plus abordable que beaucoup d'armes classiques, objectivement. Et donc, on va vivre de plus en plus dans un monde très dépendant du numérique, où le combat numérique va prendre une place forcément croissante. Je ne m'en réjouis pas, cela va de soi, c'est juste un constat objectif : où est-ce que cela nous mènera ? Je n'en sais rien, mais ce qui est certain, c'est que dans la géopolitique tendue que l'on vit actuellement, qui ne va pas s'arranger dans les années à venir, on aura une présence de plus en plus forte d'actions numériques, soit à des fins discrètes, l'espionnage, soit à des fins beaucoup plus visibles, beaucoup plus coercitives, avec des effets bien réels sur des systèmes critiques dans le secteur de l'énergie, dans le secteur des transports et de la finance ou dans les télécoms. Tous nos grands secteurs critiques se sont numérisés et donc la menace numérique va les concerner. Et donc tout l'enjeu pour nous dans les années à venir, va être de nous assurer que la barre est suffisamment haute dans tous ces secteurs critiques pour empêcher des attaques, y compris venant d'adversaires qui ont des moyens considérables.

Vous alertez sur une menace qui ne cesse de se renforcer venant d'adversaires décrits comme toujours plus puissants. Mais comment analysez-vous la guerre en Ukraine, sur l'aspect cyber ? Beaucoup d'experts s'attendaient à de gros dégâts et pour l'instant, la Russie n'a a priori pas infligé de coup décisif à l'Ukraine...

Dans le domaine du cyber, je le redis, il faut rester modeste. L'actualité nous le rappelle régulièrement, l'heure n'est pas à la fanfaronnade et à la provocation de nos adversaires pour dire "vous pouvez y aller, on résiste à tout". Ce serait bête tout simplement de faire une telle démarche. Le cas de l'Ukraine est assez intéressant au demeurant puisque l'Ukraine a été très lourdement attaquée il y a cinq ans, en 2017. Plusieurs campagnes d'origine russe, très probablement, ont été menées sur des secteurs très critiques dans le domaine de l'énergie, dans le domaine de l'industrie, des chemins de fer, etc. Donc on était resté un peu avec l'image d'une Ukraine qui était une "victime facile". Et en fait, en cinq ans, ils ont travaillé comme des fous. Les Anglo-saxons les ont beaucoup aidés, probablement aussi. Et aujourd'hui, ils sont à la fois résistants et résilients. Résistants parce qu'ils ne sont pas faciles à attaquer manifestement. Je ne dis pas qu'il n'y a pas d'attaques réussies mais globalement, ils résistent très bien au niveau cyber. Et ils sont résilients parce que quand une attaque se produit quand même, eh bien ça n'a pas d'impact illimité, tout ne s'effondre pas.

Nous avons une vraie leçon à tirer de l'Ukraine : on doit continuer à faire les efforts comme on le fait aujourd'hui pour sécuriser nos systèmes et se dire que, quand bien même il se passerait quelque chose : "Comment est ce que je fais pour continuer à fonctionner ?" Donc ce terme de résilience est beaucoup utilisé aujourd'hui et c'est justifié. Le but n'est pas d'être invulnérable, parce qu'on ne le sera jamais, le but est de mettre la barre suffisamment haute pour limiter le nombre d'attaques et limiter leur impact quand elles se produisent, pour continuer à fonctionner.

En constatant la résistance de l'Ukraine, peut-on conclure que la cyberpuissance russe n'est pas si "puissante" que cela, ou en tout cas moins qu'on pouvait le penser ?

Il y a deux erreurs qu'il ne faut pas faire en ce moment. La première serait de se rassurer trop vite en se disant qu'on a surestimé la Russie, "ils ne sont pas dangereux". Je peux vous garantir que c'est faux, je peux vous garantir qu'ils ont des capacités considérables ; certaines affaires ont d'ailleurs été rendues publiques, comme par exemple l'attaque contre Solar Winds il y a un an. C'était il n'y a pas si longtemps que ça. C'est une attaque qui aurait pu être absolument dramatique si l'objectif n'avait pas été uniquement de faire de l'espionnage. Si le but avait été de détruire des systèmes, pour les Américains, ça aurait été dramatique. Donc sous estimer les Russes serait une erreur majeure.

L'autre erreur à ne pas faire en ce moment, c'est de se focaliser à l'inverse sur la Russie. Il y a d'autres acteurs menaçants, des grands États comme la Chine bien évidemment, mais pas seulement. Il faut bien penser que le cyber n'est pas l'apanage des très grands Etats. Avec quelques dizaines, quelques centaines de personnes compétentes, vous pouvez créer une armée cyber. Donc c'est aussi l'arme du pauvre. Il ne faut pas tirer de mauvaises conclusions de la crise ukrainienne. Les combats numériques vont continuer à se développer, mais on n'est pas à la fin de la crise ukrainienne. Aujourd'hui, il n'y a pas eu de réplique dans le domaine cyber, notamment face aux sanctions. Mais ce n'est pas parce qu'elles n'ont pas eu lieu qu'il n'y en aura pas par la suite. On continue à porter un message de prudence vis à vis des opérateurs critiques, vis à vis des cibles potentielles : pour leur dire "attention, cet épisode n'est pas terminé. Vous pouvez être des cibles. On ne le souhaite pas, évidemment, mais vous pouvez l'être". Et donc, tout ce qu'on a préparé ensemble ces dernières années, nos premières lignes de défense, tout cela doit rester très actif si jamais quelque chose se produit.

Concernant les années qui viennent, l'un des défis du secteur du cyber est assez prosaïque : c'est un défi de ressources humaines. On manque de candidats à recruter ?

Dans les défis devant nous, il y a évidemment les ressources humaines. Dans ce domaine, il faut du temps : si on a besoin de plus de ressources, il faut former des personnes. Ce n'est pas du tout inaccessible, mais il faut des années de formation pour faire des experts et pour modifier les mentalités. Tout cela est en route : il y a de plus en plus de formation, on est en train de changer l'image de la cyber avec des initiatives comme le Campus Cyber par exemple [lieu qui rassemble tous les acteurs de la cybersécurité en France à La Défense]. Un des objectifs du Campus Cyber, c'est de montrer à nos enfants que la cyber n'est pas uniquement du sang et des larmes, ce n'est pas uniquement des gens avec des capuches qui font de l'informatique dans le noir. Ce n'est pas cela le cyber aujourd'hui, ce sont des métiers nobles, passionnants. Je le vois au niveau de l'Anssi : les gens qui y travaillent trouvent du sens, trouvent de l'intérêt. Tout cela est très positif et on est en train de le développer.

Pour autant, le manque de ressources, le nombre de personnes compétentes, va rester un facteur limitant durablement, mais sans en faire un sujet catastrophique. Et donc, il faut qu'on utilise tous les leviers qui sont à notre main, notamment le fait d'avoir plus de femmes dans le domaine cyber. C'est très intéressée comme approche, simplement parce que si l'on veut augmenter rapidement le nombre de personnes, le nombre d'experts, eh bien il faut impérativement qu'on ait plus de 10 % de femmes, comme c'est malheureusement trop souvent le cas dans beaucoup d'endroits. Ce n'est pas un métier genré : il n'y a aucune raison que soit genré. Donc on a ce travail là qui est mené avec plein d'initiatives qui vont dans ce sens là où je suis persuadée que ça va porter ses fruits, ça porte déjà ses fruits, mais ça prend du temps, forcément et c'est ça qui va nous limiter dans les années à venir.

Après, il n'y a pas que ça, objectivement : il faut qu'on reste impérativement avec une volonté politique forte de porter le sujet. Moi, sincèrement, pendant huit ans, je n'ai pas été déçu parce que ça a vraiment toujours été un sujet très porteur et ça va le rester, probablement. Il faut qu'on continue à développer une industrie forte dans le domaine cyber. Ce n'est pas un sujet purement public et étatique. Au contraire, on a besoin impérativement de cet écosystème privé qui est absolument indispensable en prévention et en réaction. On a besoin de construire une Europe de la cybersécurité. On est en train, mais on n'est pas au bout. Aujourd'hui, la solidarité européenne, la volonté est là mais la mise en œuvre n'est pas encore réalisée. On a plein de sujets, plein de chantiers qui sont lancés, qui me rendent optimiste face à une menace très forte. Mais en même temps, il ne faudra pas réduire la cadence parce que si on commence à un moment à se dire "Là c'est bon, le cyber, on est au niveau donc on peut se concentrer sur d'autres sujets". Et dieu sait qu'il y a d'autres sujets aujourd'hui de préoccupation. Mais si on fait ça, ce sera une erreur totalement délétère qui apportera des conséquences dramatiques pour notre pays.