Intervention de Guillaume Poupard

À propos des pertes économiques occasionnées par les cyberattaques, des chiffres circulent, qui donnent le vertige, mais je ne suis pas en mesure de les confirmer. On parle, au ministère de l'Intérieur, de « chiffre noir », car, effectivement, nous ne savons pas l'évaluer.

Ce qui est certain, c'est que les risques de perte sont incommensurables. Si, demain, des actes de terrorisme, des actes de guerre détruisent nos opérateurs d'importance vitale, bloquent nos systèmes de transport, nous coupent l'électricité, cela nous coûtera extrêmement cher. Techniquement, ce sont des possibilités qu'il ne faut pas exclure, le phénomène se développe même. De ce point de vue, les cyberattaques subies par l'Ukraine témoignent de l'étendue des dommages que peuvent causer les attaques informatiques. Tout y a déjà été testé. L'électricité a été coupée, les systèmes de transport ont été paralysés. Les attaques sont régulières et « éclaboussent » parfois d'autres victimes. Ainsi, l'activité de Saint-Gobain, qui avait un bout de réseau en Ukraine, a été bloquée pendant quinze jours. Nous les avons beaucoup aidés, cela s'est bien passé, et nous les connaissons maintenant bien, mais, pendant quinze jours, ils ne savaient plus où devait être livré ce qu'ils produisaient et ils ne pouvaient plus prendre de nouvelles commandes. Cela a eu un impact de 240 millions d'euros sur le chiffre d'affaires et de 80 millions – l'équivalent du budget de l'ANSSI – sur le résultat net. C'est là l'effet d'une attaque ayant paralysé quinze jours l'activité d'un opérateur qui n'est même pas d'importance vitale et n'a pas vocation à le devenir ! Malheureusement, les chiffres s'envolent très vite. Régulièrement, on me demande s'il ne suffirait pas d'un fonds, comme celui dédié aux catastrophes naturelles, pour faire face de telles attaques. Ce n'est pas possible, car nous ne sommes pas capables d'en fixer le montant, et, quand bien même nous le doterions d'un milliard, l'exemple de Saint-Gobain montre que les dégâts d'une attaque pourraient très vite atteindre un tel coût. Cela ne veut pas dire que l'approche assurantielle n'a pas de sens. Au contraire, nous y travaillons, en lien étroit, dans le cadre de la Revue stratégique de cyberdéfense, avec les acteurs concernés.

En matière de prévention, entre ce que nous imposons réglementairement et ce que certains font de manière volontaire, cela fonctionne très bien. La marge de progression n'en reste pas moins colossale ; je suis d'accord avec vous.

Le degré de sécurité des différents opérateurs, qu'ils soient publics ou privés, est très hétérogène. Évidemment, le problème présente une dimension technique. Il faut être en mesure d'intégrer de la sécurité dans les systèmes dès leur conception – by design, comme disent les industriels. Se posent cependant également des questions de gouvernance. J'en avertis les comités exécutifs des grandes entreprises : la cybersécurité est de leur responsabilité et de celle des conseils d'administration, non de celle d'un responsable de la sécurité des systèmes d'information perdu au fin fond de l'organigramme. La menace est telle et implique des arbitrages d'une importance telle que la question doit être examinée au plus haut niveau. Je tiens exactement le même discours aux administrations et aux ministères.

S'il est très difficile d'évaluer le coût de la cybersécurité, on estime aujourd'hui qu'il représente entre 5 % et 10 % du budget informatique d'une structure, il est donc considérable, puisque les budgets sont considérables. Ce n'en est pas moins accessible, le budget ne s'en trouve pas multiplié par dix. L'idée est que chacun puisse prendre les bons arbitrages en la matière.

Les crypto-monnaies n'entrent qu'à la marge dans notre champ de compétence. Nous en subissons les effets dans nombre d'actes cybercriminels car, oui, elles sont effectivement impossibles à « tracer » ou presque. Les cybercriminels ne s'y trompent pas, qui demandent aux victimes rançonnées de payer en bitcoins, ce qui les protège. Cela protège cependant aussi les victimes : un versement par carte bancaire à une mafia d'un pays de l'Est n'est pas une très bonne idée. Certains opérateurs sont sollicités par des clients qui leur demandent tout simplement comment ils peuvent payer une rançon en bitcoins. Je suis incapable de vous dire à quel point les crypto-monnaies peuvent déstabiliser l'économie – ce n'est pas mon métier, mais il est certain qu'elles entrent dans le paysage de la cybercriminalité, et il n'y a pas de raison que cela s'arrête.

Qu'en est-il de la vulnérabilité des opérateurs d'importance vitale ? La situation est très hétérogène. Certains sont très sérieux ; je pense à ceux qui s'occupent des centrales nucléaires, avec qui nous travaillons en lien étroit depuis des années – je ne suis pas inquiet. Il faut cependant considérer l'ensemble de la chaîne. À l'autre extrémité, il y a des compteurs intelligents qui sont autant de cibles potentielles. C'est l'ensemble de la chaîne qu'il faut protéger, pas uniquement les points les plus dangereux apparemment ni les plus symboliques.

Nous avons encore beaucoup de travail. Une approche réglementaire fait gagner beaucoup de temps et me paraît pertinente. L'extension de la démarche aux opérateurs de services essentiels, au-delà des 200 OIV, nous permettra également d'aller plus loin.

Avec la sonde souveraine de Thales – il en est d'autres –, nous revenons à la thématique de la détection. Nous imposons aux opérateurs d'importance vitale de faire de la détection, de recourir à des prestataires de détection. Évidemment, si c'est mal fait, ce sera une fragilité supplémentaire. Si certains grands acteurs et prestataires, que l'on qualifie au nom du Premier ministre, tels Thales, Airbus et Atos, se mettent à faire de la détection d'attaques pour de nombreux clients très sensibles, les attaquants s'en prendront demain non plus aux clients mais aux prestataires, car c'est là qu'ils pourront indirectement accéder aux informations qui les intéressent. Il est donc très important que le niveau de sécurité de ces prestataires soit extrêmement élevé. C'est l'intérêt de la qualification, et de la vie dure que nous leur menons – nous avons une très bonne relation avec eux, mais je sens bien que nous les fatiguons un peu. Il faut que la sonde elle-même, qui détectera les menaces, soit de confiance, et qu'un attaquant ne puisse en modifier le fonctionnement. C'est la raison pour laquelle nous avons besoin dans les cas les plus sensibles de sondes dites « souveraines », car nous ne pouvons exclure la possibilité que des sondes étrangères soient aveugles à une partie des menaces. Dans des cas moins sensibles, nous pouvons faire des compromis et recourir à d'autres sondes.

La relation que l'ANSSI et l'ARCEP entretiendront sera différente, effectivement, mais parlons tout de suite de l'avis de l'ARCEP. Il porte sur une version très primitive du texte – dont témoigne la mention d'articles 19 bis, 19 ter, etc. Le problème est donc qu'il s'agit d'un avis sur un texte qui n'est pas connu. Le texte actuel tient compte de nombre des remarques de l'ARCEP.

Nous continuons évidemment à parler avec eux, en bonne intelligence. L'idée est d'établir un contrôle efficace mais également raisonnable. Par exemple, nous ne voulons pas d'un contrôle a priori. Il faut un contrôle efficace, global, qui permette d'éviter des dérives et de nous arrêter si nous allons trop loin – c'est normal. Aujourd'hui, par peur d'aller trop loin dans l'exercice de nos missions actuelles, nous nous autocensurons parfois. Il nous manque une capacité de contrôle. J'accueille donc avec plaisir le contrôle de l'ARCEP dont je pense qu'il nous fera gagner en efficacité. Ce n'était pas le cas lorsque nous nous construisions mais, maintenant que nous nous installons dans le paysage et que nous commençons à faire beaucoup de choses, l'absence de contrôle nous freine.

L'article 19 n'est probablement pas suffisant. Une thématique n'est pas abordée ici : la possibilité d'une démarche plus active. Il n'y a là nul motif de honte ; simplement, nous ne sommes pas prêts. Aussi ne faisons-nous aujourd'hui que de la détection, nous ne pouvons arrêter une menace. Demain, peut-être – je prends des précautions parce que c'est beaucoup moins anodin –, nous demanderons aux opérateurs de communications électroniques d'arrêter certaines attaques, de les bloquer. Cela rouvre cependant immédiatement le débat sur la neutralité du net, à laquelle nous ne portons présentement pas atteinte. Seuls les opérateurs seraient en effet en mesure d'arrêter certaines attaques, telles les attaques par déni de service (DDoS attack, distributed denial of service attack) : un attaquant prend le contrôle de très nombreuses victimes primaires, qui ne s'en rendent même pas compte, et, ensuite, toutes s'en prennent à une cible, ce qui la sature complètement et la bloque. Les machines contrôlées peuvent être des ordinateurs, des objets connectés ou même des caméras de surveillance. Je prends là l'exemple emblématique d'une attaque survenue il y a un an : l'attaquant, ayant pris le contrôle de ces caméras, a pu faire tomber un important opérateur américain, Dyn, et, pendant plusieurs heures, des services comme Netflix ont été totalement bloqués. Il est très dur d'agir à la source de l'attaque, par définition très « distribuée », et il est impossible de faire quoi que ce soit au niveau de la victime, submergée – OVH a également été attaqué de la sorte. Il n'y a que les opérateurs, entre la source et la cible, qui pourraient faire quelque chose, mais nous nous l'interdisons pour l'instant, car nous ne sommes pas prêts. Il faut pouvoir proposer un dispositif à la fois efficace et protecteur, qui ne puisse entraîner des dérives. Si l'avis de l'ARCEP évoque la neutralité du net, c'est parce que le texte initial prévoyait des éléments de ce type, actifs, mais ils en ont été retirés.