L’Anssi et l’Enisa face à l’explosion des cybermenaces

La France ne fait pas figure d’exception en matière de cyberattaques. Auditionné par les sénateurs, Juhan Lepassaar, directeur de l’Enisa, l’agence européenne de la cybersécurité, a évoqué un doublement du coût des cybercrimes en 2020, atteignant le chiffre vertigineux de 5,5 milliards d’euros avec 250 opérateurs de services essentiels (OSE) touchés dont 5 en France. Les rançongiciels trustent le palmarès de ces attaques, près de la moitié ayant coûté plus d’un million d’euros à leurs victimes. Le directeur de l’Anssi, Guillaume Poupard a évoqué de son côté "40 incidents en cours de traitement chaque semaine" par ses services parmi lesquels au moins une attaque concernant un hôpital ou une collectivité.

Attaques à visée destructive

"La menace est horizontale" a souligné Juhan Lepassaar, l’ensemble des secteurs d’activité, les entreprises, les institutions comme les particuliers étant affectés par des attaques qui ne cessent de se diversifier. Et si les rançongiciels concentrent aujourd’hui l’attention, Guillaume Poupard a appelé à ne pas sous-estimer d’autres risques comme l’espionnage et les attaques à visée destructive : "Ma crainte est de devoir faire face un jour à une attaque de type militaire, touchant un réseau d’énergie de télécommunication ou de transport et générant le chaos". Et de souligner au passage que dans ses préoccupations actuelles, la 5G figurait dans le haut de sa liste. Autre sujet d’inquiétude, la chaine d’approvisionnement, un grand nombre d’attaques récentes étant imputables à des défaillances de logiciels de sous-traitants, inconnus de la victime finale. "J’ai été le premier à découvrir l’existence de Solarwinds", a avoué le directeur de l’Anssi en référence à un logiciel de télémaintenance à l’origine d’une cyberattaque ayant touché de grandes entreprises et institutions aux Etats-Unis.

Un sujet éminemment politique

Face à ce tableau très sombre, les sénateurs se sont interrogés sur l’adéquation des moyens affectés à la lutte contre les cybermenaces. Même s’ils sont en augmentation, les effectifs de l’Enisa sont ainsi très limités avec à peine 118 agents à comparer aux 600 agents de l’Anssi. Une situation qui a conduit l’Agence européenne à s’appuyer sur les agences nationales mais qui peut interroger en cas de cyberattaque à l’échelle européenne. Tout en renvoyant aux politiques cette question des moyens, les deux dirigeants ont d’abord insisté sur la nécessité d’une prise de conscience généralisée des cyber-risques. "Le respect des règles d’hygiène informatique est la base, car sinon c’est comme vouloir pratiquer de la chirurgie de haute précision avec des mains sales", a illustré Guillaume Poupard. La cybersécurité a également besoin de davantage de bras, les métiers de la cybersécurité devant devenir plus attractifs pour les jeunes et se féminiser davantage. Les deux directeurs ont ensuite réaffirmé la pertinence de l’approche retenue par l’Europe. Face à un sujet intégrant de forts enjeux de souveraineté nationale, c’est en effet l’échange d’informations (avec les CERT ou centre de détection et de réponse aux incidents de sécurité), la fixation de règles strictes pour une liste limitée de services stratégiques et une politique de certification de solutions de cybersécurité qui ont été retenus.

Révision de la directive NIS

Ces trois piliers de la cybersécurité européenne ne devraient pas fondamentalement évoluer avec la révision de la directive NIS (Network and Information System Security) de 2013 adoptée dont la révision est programmée pour 2022. En revanche, la liste des opérateurs de services essentiels (OSE), soumis à des règles strictes et à des contrôles réguliers, est susceptible d’évoluer. Le gouvernement français a du reste déjà pris les devants en ajoutant aux CHU 103 hôpitaux à la liste des OSE soumis à des obligations strictes avec pour corollaire un accès privilégié aux experts de l’Anssi. Une sénatrice s’est interrogée sur l’ajout des collectivités territoriales à cette liste. Un sujet qui serait sur la table, l’idée générale étant de "fixer des bases communes de cybersécurité et d’étendre progressivement les obligations sectorielles".

Parquet national cyber

Le directeur de l’Anssi a profité de l’occasion pour faire passer quelques messages aux sénateurs. Il les a d’abord enjoint à ne pas chercher à limiter les possibilités d’usage de la cryptographie pour tenter de lutter contre la cybercriminalité, estimant que ce serait "inefficace". Il a aussi rappelé que la recherche des cybercriminels ne relevait pas des missions de l’agence. Un message qui semble avoir été entendu par les parlementaires de la commission supérieure du numérique et des postes dont une des recommandations est de créer un parquet national dédié à la cybercriminalité (voir ci-après).