Le site de l'Assemblée nationale, les hôpitaux de la Réunion, de Corbeil, de Brest, des entreprises... les victimes de cyberattaques s'accumulent en France. En première ligne dans la lutte contre ces attaques, l'Agence nationale de sécurité des systèmes d'information (Anssi) a plusieurs dossiers sur la table pour les mois à venir. Elle va élargir son champ d'action et déployer ses radars pour protéger les Jeux olympiques de Paris 2024 mais aussi accompagner des milliers de collectivités et de PME. À l'occasion de l'ouverture du forum international de la cybersécurité à Lille ce mercredi, entretien avec le nouveau patron de l'Anssi, Vincent Strubel.

FRANCE INTER : Lors de la présentation du bilan 2022 de vos services en début d'année, vous aviez relevé une extension des cyberattaques. Pouvez-vous nous expliquer de quoi il s'agit ?

VINCENT STRUBEL : "Premièrement, le panorama de la menace 2022 met en évidence une petite baisse temporaire des cyberattaques à visée criminelle au premier semestre, suivie d'un rebond. On pense qu'il y a des effets de bord de la crise ukrainienne notamment [le principal groupe de hackers sur ces sujets était composé de pirates russes et ukrainiens qui se sont déchirés avec le début de la guerre avant de se recomposer visiblement en différentes entités, NDLR].

Ce panorama de 2022 met aussi en évidence une extension de ces menaces à des acteurs qui étaient relativement épargnés. Aujourd'hui, tout le monde est potentiellement victime parce que ces "ransomwares" [logiciels malveillants qui demandent des rançons, NDLR], c'est une pêche au chalut. Les PME, les collectivités, les hôpitaux ont été victimes sans être forcément ciblés au départ. Enfin, on voit une persistance de la menace stratégique, c'est-à-dire l'espionnage - qui est ce qui nous occupe le plus, même si c'est beaucoup moins visible - et potentiellement le sabotage d'infrastructures critiques."

Combien d'attaques avez-vous recensées ?

"En flux d'attaques ou d'incidents de sécurité signalés à l'Anssi, on est autour de 2000 par an. Mais ça, c'est uniquement ce qui est signalé à l'Anssi. Ce n'est évidemment pas la seule à traiter des cyberattaques. Celles que l'on traite sont celles qui nous sont remontées parce qu'elles affectent une infrastructure sensible, sont visibles ou donnent lieu un traitement sur la durée. C'est le cas pour les attaques d'hôpitaux par exemple. On se mobilise alors pour y répondre nous-mêmes ou pour coordonner la réponse d'acteurs privés.

En revanche, pour les attaques qui ciblent les particuliers, il y a un dispositif qui s'appelle "cybermalveillance.gouv.fr" qui est construit par l'État, l'Anssi, le ministère de l'Intérieur, le ministère de la Justice, Bercy et des acteurs privés pour coordonner des réponses au profit des particuliers."

L'Anssi s'est vu confier la mission d'assurer et de piloter la cybersécurité des Jeux olympiques. Après plusieurs milliards de tentatives et d'intrusions crapuleuses à Tokyo, comment se prépare-t-on pour Paris 2024 ?

"On va sensibiliser tous les acteurs de l'écosystème, par des audits, des plans de montée en compétences et de montée en cybersécurité. C'est quelque chose qu'on pratique bien au-delà des Jeux olympiques, dans l'accompagnement des collectivités, des établissements de santé, des entreprises. Il s'agit de les aider avec un premier diagnostic, puis de les inscrire dans ce qu'on appelle un parcours de cybersécurité, c'est-à-dire un accompagnement dans la durée qui vise à rehausser leur niveau de sécurité et à les préparer à gérer une crise, parce qu'elle se produira tôt ou tard.

On a aussi un rôle opérationnel qui nous conduira à nous mettre en lien avec le ministère de l'Intérieur et avec les opérateurs et organisateurs des Jeux pour assurer la gestion des éventuelles crises de cybersécurité pendant l'évènement."

Quelles sont les menaces auxquelles vous vous préparez ?

"On essaye de prendre en compte toutes les menaces. On peut anticiper des attaques de groupes relevant du crime organisé, qui paralysent des infrastructures et exhortent à payer des rançons, mais on peut aussi envisager des attaques plus stratégiques, qui visent cette fois à porter atteinte au déroulé même des Jeux, à la compétition sportive elle-même ou pour porter atteinte à l'image de la France, en perturbant l'organisation ou la cérémonie d'ouverture."

Quels sont les autres chantiers à venir ?

"Un des chantiers majeurs dans les mois qui viennent, c'est la transposition d'une nouvelle directive européenne qui s'appelle Nis 2. Elle va étendre le champ des obligations réglementaires en matière de cybersécurité à plusieurs milliers d'acteurs dans l'ensemble des secteurs d'activité.

Il y a dans cette directive un volet sanction qui est significatif et qui est renforcé. L'ambition, ce n'est évidemment pas de distribuer des punitions aux mauvais élèves mais de porter ces sujets de cybersécurité au niveau des décideurs, au niveau du comité exécutif d'une entreprise, des chefs d'une collectivité locale ou d'un établissement de santé, parce que ce n'est pas que de la technique, la cybersécurité."

Et donc vous allez descendre au niveau des PME ou des mairies ?

"La directive Nis 2 a vocation à s'appliquer aux collectivités et aux entreprises, y compris des petites, avec un niveau d'ambition dans les mesures réglementaires applicables qui sera forcément adapté à ces acteurs-là. L'ambition n'est pas de les obliger à se cybersécuriser mais de leur faire prendre les réflexes de base, les mesures de prévention élémentaires qui font qu'on est à l'abri de l'essentiel des cyberattaques et les faire intégrer ces paramètres dans leur gouvernance."

Ce n'est pas suffisamment le cas aujourd'hui ?

"Il n'y a qu'à voir le nombre de PME, de collectivités, d'établissements de santé qui sont aujourd'hui victimes de rançongiciels. Il y a un enjeu de prévention, avec des mesures techniques qui ne sont pas forcément compliquées : mettre à jour ses logiciels, avoir des mots de passe ou des mécanismes d'authentification suffisamment robustes. Et il y a un enjeu de gouvernance, dont l'essentiel est de se préparer à gérer la crise.

On le voit aujourd'hui, par exemple avec des hôpitaux qui ont subi des attaques depuis le début de l'année et qui ont pris les bonnes décisions, avec ce qu'on appelle des mesures d'endiguement, c'est-à-dire de limiter la propagation d'une attaque dans les heures qui suivent. Cela signifie détecter ces attaques et être organisé pour y répondre. Et ça fait toute la différence entre quelque chose d'embêtant qui va affecter un peu l'activité pendant quelques semaines et quelque chose de catastrophique qui va mettre totalement à plat l'informatique d'une entité comme un hôpital. Mais ça pourrait être tout à fait transposable à une collectivité, à une PME ou une entreprise au sens large."