L’Anssi et l’Enisa face à l’explosion des cybermenaces

Si la pandémie a fait exploser le nombre de cyberattaques, elle a eu le mérite de démontrer l’urgence de renforcer les moyens affectés à la cybersécurité. Face à une menace "horizontale", les agences européenne et française de cybersécurité misent sur la formation, la certification, la recherche et des règles sectorielles. De son côté, la commission supérieure du numérique et des postes a plaidé pour davantage de décentralisation dans la gestion de la cybersécurité.

La France ne fait pas figure d’exception en matière de cyberattaques. Auditionné par les sénateurs, Juhan Lepassaar, directeur de l’Enisa, l’agence européenne de la cybersécurité, a évoqué un doublement du coût des cybercrimes en 2020, atteignant le chiffre vertigineux de 5,5 milliards d’euros avec 250 opérateurs de services essentiels (OSE) touchés dont 5 en France. Les rançongiciels trustent le palmarès de ces attaques, près de la moitié ayant coûté plus d’un million d’euros à leurs victimes. Le directeur de l’Anssi, Guillaume Poupard a évoqué de son côté "40 incidents en cours de traitement chaque semaine" par ses services parmi lesquels au moins une attaque concernant un hôpital ou une collectivité.

Attaques à visée destructive

"La menace est horizontale" a souligné Juhan Lepassaar, l’ensemble des secteurs d’activité, les entreprises, les institutions comme les particuliers étant affectés par des attaques qui ne cessent de se diversifier. Et si les rançongiciels concentrent aujourd’hui l’attention, Guillaume Poupard a appelé à ne pas sous-estimer d’autres risques comme l’espionnage et les attaques à visée destructive : "Ma crainte est de devoir faire face un jour à une attaque de type militaire, touchant un réseau d’énergie de télécommunication ou de transport et générant le chaos". Et de souligner au passage que dans ses préoccupations actuelles, la 5G figurait dans le haut de sa liste. Autre sujet d’inquiétude, la chaine d’approvisionnement, un grand nombre d’attaques récentes étant imputables à des défaillances de logiciels de sous-traitants, inconnus de la victime finale. "J’ai été le premier à découvrir l’existence de Solarwinds", a avoué le directeur de l’Anssi en référence à un logiciel de télémaintenance à l’origine d’une cyberattaque ayant touché de grandes entreprises et institutions aux Etats-Unis.

Un sujet éminemment politique

Face à ce tableau très sombre, les sénateurs se sont interrogés sur l’adéquation des moyens affectés à la lutte contre les cybermenaces. Même s’ils sont en augmentation, les effectifs de l’Enisa sont ainsi très limités avec à peine 118 agents à comparer aux 600 agents de l’Anssi. Une situation qui a conduit l’Agence européenne à s’appuyer sur les agences nationales mais qui peut interroger en cas de cyberattaque à l’échelle européenne. Tout en renvoyant aux politiques cette question des moyens, les deux dirigeants ont d’abord insisté sur la nécessité d’une prise de conscience généralisée des cyber-risques. "Le respect des règles d’hygiène informatique est la base, car sinon c’est comme vouloir pratiquer de la chirurgie de haute précision avec des mains sales", a illustré Guillaume Poupard. La cybersécurité a également besoin de davantage de bras, les métiers de la cybersécurité devant devenir plus attractifs pour les jeunes et se féminiser davantage. Les deux directeurs ont ensuite réaffirmé la pertinence de l’approche retenue par l’Europe. Face à un sujet intégrant de forts enjeux de souveraineté nationale, c’est en effet l’échange d’informations (avec les CERT ou centre de détection et de réponse aux incidents de sécurité), la fixation de règles strictes pour une liste limitée de services stratégiques et une politique de certification de solutions de cybersécurité qui ont été retenus.

Révision de la directive NIS

Ces trois piliers de la cybersécurité européenne ne devraient pas fondamentalement évoluer avec la révision de la directive NIS (Network and Information System Security) de 2013 adoptée dont la révision est programmée pour 2022. En revanche, la liste des opérateurs de services essentiels (OSE), soumis à des règles strictes et à des contrôles réguliers, est susceptible d’évoluer. Le gouvernement français a du reste déjà pris les devants en ajoutant aux CHU 103 hôpitaux à la liste des OSE soumis à des obligations strictes avec pour corollaire un accès privilégié aux experts de l’Anssi. Une sénatrice s’est interrogée sur l’ajout des collectivités territoriales à cette liste. Un sujet qui serait sur la table, l’idée générale étant de "fixer des bases communes de cybersécurité et d’étendre progressivement les obligations sectorielles".

Parquet national cyber

Le directeur de l’Anssi a profité de l’occasion pour faire passer quelques messages aux sénateurs. Il les a d’abord enjoint à ne pas chercher à limiter les possibilités d’usage de la cryptographie pour tenter de lutter contre la cybercriminalité, estimant que ce serait "inefficace". Il a aussi rappelé que la recherche des cybercriminels ne relevait pas des missions de l’agence. Un message qui semble avoir été entendu par les parlementaires de la commission supérieure du numérique et des postes dont une des recommandations est de créer un parquet national dédié à la cybercriminalité (voir ci-après). 

La CSNP veut une cybersécurité décentralisée

Les parlementaires de la commission supérieure du numérique et des postes (CSNP) ont rendu le 29 avril 2021 un avis sur la stratégie française en matière de cybersécurité. S’ils se félicitent du milliard d’euros mobilisé par l’Etat pour renforcer le niveau global de cybersécurité des infrastructures publiques et privées, ils pointent les limites d’une stratégie axée sur la défensive et font une vingtaine de recommandations. Ils demandent ainsi la création d’un parquet national dédié à la cybersécurité et une amélioration de la formation des magistrats sur ces questions. Ils estiment ensuite urgent de réguler le paiement des rançons en obligeant les entreprises à les déclarer. Selon la commission, 20% des entreprises accepteraient de les payer, ce qui nourrit le juteux marché des rançongiciels. Concernant l’Anssi, ils invitent à renforcer ses moyens et à faire en sorte que les CSIRT (Cert régionaux) soient créés en concertation avec les collectivités territoriales. Ils proposent d’associer ces CSIRT à des "campus cyber" hébergeant l’écosystème local de la cybersécurité dont le principe pourrait être inscrit dans les schémas régionaux de développement économique, d'innovation et d'internationalisation. Ils insistent enfin sur la nécessité de sensibiliser massivement la population aux enjeux de cybersécurité avec un accent particulier sur la formation des agents publics des petites collectivités.