Olivier de Mazières est préfet et délégué ministériel aux Partenariats, aux Stratégies et aux Industries de Sécurité (DPSIS). Créée en septembre 2020, la DPSIS coordonne les différents acteurs publics de sécurité. Elle fédère l’ensemble de la filière pour dégager des coopérations, notamment en matière de cybersécurité, en relation avec les acteurs publics comme l’ANSSI et les acteurs privés. Le préfet Olivier de Mazières, nous présente l’ampleur des cybermenaces et les réponses de l’État face à leur expansion.
Du côté des entreprises, le risque le plus courant est celui du rançongiciel. Pour les particuliers, c’est le phishing pour récupérer des informations bancaires et détourner des moyens de paiement. Mais les menaces les plus redoutables sont les attaques hybrides « cyber » - « physique ».
Préfet Olivier de Mazières
Préfet et délégué ministériel aux Partenariats, aux Stratégies et aux Industries de Sécurité (DPSIS)
En France et en Europe, les cyberattaques sont en progression et la cybercriminalité s’industrialise. Comment analysez-vous les différents types de cybermenaces sur notre territoire ?
Olivier de Mazières : Le domaine du cyber est un sous-ensemble du numérique. Lorsqu’un pirate prend le contrôle d’un service numérique, lorsqu’il lance une attaque par déni de service ou lorsqu’il compromet une base de données, on est dans le cyber. Je vois quatre grandes catégories de menaces. Il y a les attaques qui visent la population (le phishing par exemple), les attaques de nature économique (comme les rançongiciels), les attaques d’État à État (avec des motivations géopolitiques qui relèvent du champ d’action de services comme la DGSI)
et une catégorie émergente depuis quelques années : la manipulation de l’information autour des fake news notamment. En pratique, nous devons prendre en compte le caractère de plus en plus hybride des cybermenaces. Aujourd’hui, les attaques entrent souvent dans plusieurs catégories : une attaque économique réalisée avec l’aide des moyens d’un état par exemple.
Quel est le profil des cybercriminels ?
O.de.M : Il existe plusieurs catégories de cybercriminels. Les organisations étatiques qui cherchent à déstabiliser un État, les cybercriminels qui agissent par appât du gain, les « hacktivistes » qui défendent une idéologie par des actions plus ou moins violentes
et les challengers qui cherchent avant tout la performance et la satisfaction. Dans tous les cas, ces personnes ont tendance à se structurer et à coordonner de plus en plus leurs actions.
Quelles sont les cybermenaces que vous redoutez le plus ?
O.de.M : Du côté des entreprises, le risque le plus courant est celui du rançongiciel. Pour les particuliers, c’est le phishing pour récupérer des informations bancaires et détourner des moyens de paiement. Mais les menaces les plus redoutables sont les attaques hybrides « cyber » - « physique ». Elles sont lancées dans le monde cyber mais elles ont de graves conséquences dans le monde physique : arrêt du fonctionnement d’un hôpital, paralysie d’un réseau de distribution d’eau ou d’électricité…
Prenons l’exemple de nos moyens de transport. Aujourd’hui le pilotage de nos voitures, de nos avions et de nos trains passe par le numérique. Lorsque des attaquants touchent le cœur de nos activités quotidiennes, les conséquences sont potentiellement massives. Donc il faut anticiper la sécurisation et la résilience de ces systèmes, dès leur conception. Gardons à l’esprit que les attaquants sont extrêmement opportunistes et qu’ils ciblent le point faible des systèmes.
Justement, pendant la crise sanitaire, les attaques contre les hôpitaux se sont multipliées. Y a-t-il des moments privilégiés par les cybercriminels ?
O.de.M : Effectivement, les systèmes informatiques des hôpitaux étaient particulièrement vulnérables pendant la crise sanitaire et ont été ciblés. Il y a des circonstances qui nous exposent et qui créent des cibles pour des cyberattaques. Que ce soit un rendez-vous démocratique comme des élections ou un grand événement international comme les Jeux Olympiques.
En 2024, les JO de Paris seront un moment propice pour tous les attaquants cyber du monde entier qui vont vouloir se confronter aux dispositifs de protection pour interrompre la diffusion des épreuves, arrêter les compétitions ou viser la sécurité des sites. Aujourd’hui, la guerre en Ukraine est également un vecteur d’accélération des risques cyber.
Comment se protéger contre des menaces qui mutent aussi rapidement ?
O.de.M : Les circonstances qui nous exposent le plus doivent faire l’objet d’un effort particulier. La menace est agile, elle mute rapidement, il faut donc que nos moyens techniques de protection ne prennent pas de retard sur ceux des cybercriminels. Aujourd’hui, la seule prudence ne suffit plus. Il est indispensable de mobiliser les moyens adéquats à tous les niveaux pour qu’il n’y ait pas de fracture entre des acteurs très bien protégés et d’autres qui seraient négligés.
C’est pour cela que nous travaillons en coordination avec des acteurs comme Orange Cyberdefense et l’ensemble de l’écosystème cyber. L’enjeu est de ne pas se reposer sur ses acquis et d’être constamment à l’initiative. La cybersécurité doit rester un processus constant.
Comment l’État organise-t-il ce processus de protection contre les cybercriminels ?
O.de.M : L’État veut apporter des réponses d’un bout à l’autre du spectre. Au premier plan, il y a les opérateurs d’importance vitale et les opérateurs de services essentiels. Ils font l’objet d’une vigilance particulière de l’ANSSI et de la DGSI car ils sont vitaux pour le pays. Mais aujourd’hui le risque cyber n’est pas réservé aux seuls grands acteurs nationaux. À l’autre bout du spectre, le groupement d’intérêt public Action contre la Cybermalveillance (ACYMA) mène à destination d’un large public des actions de sensibilisation, de formation et d’accompagnement.
Il a également lancé le label ExpertCyber pour identifier des partenaires capables de venir en aide aux victimes d’attaques cyber. Entre ces deux extrêmes, il y a beaucoup d’acteurs de taille intermédiaire (collectivités territoriales, établissements publics, hôpitaux, entreprises de taille moyenne...) qui n’ont pas toujours les moyens de se défendre seuls. Pour les protéger, il faut fournir un effort important de coordination, notamment sur le plan local par l’intermédiaire des préfets et des forces de sécurité intérieure.
Au niveau de l’Union Européenne, quelles sont les initiatives prises pour faire face aux cybermenaces ?
O.de.M : Parce qu’elles sont porteuses d’un certain modèle socio-économique, les démocraties européennes sont particulièrement ciblées. Plusieurs initiatives sont menées pour adapter nos réponses à l’échelle européenne. Avec le projet de Digital Services Act (DSA) par exemple, l’U.E. oblige les opérateurs numériques à agir à la suite de la demande d’un État, quel que soit le pays où sont hébergées les données. Le DSA crée aussi des obligations de signalement des contenus d’infraction en ligne et des points de contact auprès des acteurs du net pour faciliter le travail des forces de sécurité. Cela rend les réponses plus directes et plus rapides. Autre spécificité européenne : l’utilisation de moyens de cyber protection respectueux des libertés individuelles. À la différence d’autres États, l’U.E. veille à la transparence des moyens de cybersécurité utilisées, à l’information préalable des citoyens, à la possibilité d’accéder aux données traitées...
Cette vision respectueuse des libertés est portée par le Comité Européen de la Protection des Données (CEPD), l’équivalent européen de la CNIL. Sur le plan pratique, l’ANSSI vient de mener en janvier 2022 un exercice en coopération avec ses homologues européens du réseau Cyber Crisis Management Cooperation Network (CyCLONe). Cette simulation grandeur nature visait à tester les capacités de réponse des États-membres lors d’une crise cyber internationale. Le retour d’expérience de cet exercice permettra d’ajuster les dispositifs et d’avancer sur les sujets de cybersécurité. C’est l’un des objectifs portés par la France durant sa présidence de l’Union Européenne.