Le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi) anticipe des cyberattaques en marge des Jeux olympiques à Paris l'été prochain.
Category
🗞
NewsTranscription
00:00 - Notre invité de 6h20, bonjour Vincent Strubel. - Bonjour.
00:03 - Vous êtes le directeur général de l'ANSI, l'Agence Nationale de la Sécurité des Systèmes d'Information.
00:09 Vous êtes en charge de la lutte contre les cyberattaques, vous êtes en poste depuis 6 mois maintenant.
00:15 Un mot d'abord de votre activité récente.
00:18 Combien d'attaques informatiques l'an dernier contre notre pays et comment ce chiffre évolue-t-il ?
00:24 Est-ce qu'on fait face à une explosion des cyberattaques aujourd'hui ?
00:28 - Compter les cyberattaques c'est toujours un peu compliqué.
00:32 Nous on en a compté à peu près 2000 en 2022.
00:36 Alors ce qui veut tout dire et rien dire pour donner une appréciation qualitative.
00:43 Et on ne voit pas tout parce que tout n'est pas remonté à l'ANSI.
00:46 On est sur une menace qui reste intense.
00:48 Alors on a l'habitude de dire qu'elle augmente.
00:50 Elle s'est surtout étendue au cours des 2-3 dernières années avec des choses qui ne changent pas.
00:56 Des attaques d'origine étatique qui visent à nous espionner, à espionner les administrations, les entreprises sensibles.
01:02 Mais avec quelque chose qui a explosé au cours des 2-3 dernières années qui est le crime organisé.
01:06 Qui vise à faire de l'argent en prenant en otage vos données, en les exfiltrant et en les vendant au plus haut franc.
01:14 Par toutes sortes de moyens.
01:16 Et cette menace-là on l'a vu s'étendre de cibles bien identifiées à une logique plutôt de pêche au chalut.
01:23 Dans laquelle les attaquants ne ciblent personne en particulier et tout le monde en général.
01:28 Et attrapent les PME, les établissements de santé, les collectivités territoriales.
01:32 Qui sont aujourd'hui les principales victimes de ce type de menaces.
01:35 Avec des effets qui sont très visibles et avec des conséquences inacceptables.
01:39 On entend souvent parler d'attaque aux rançons Jiciel.
01:42 Peut-être y faites-vous référence dans vos propos à l'instant.
01:45 De quoi s'agit-il précisément ?
01:47 Les rançons Jiciel ça fait partie, et c'est peut-être la technique d'attaque principale de ces groupes de crimes organisés.
01:52 Ça consiste à verrouiller totalement l'informatique de la cible, d'une collectivité, d'un hôpital.
01:59 Et demander une rançon.
02:01 Contre le déverrouillage.
02:02 Vous me donnez de l'argent, je vous permet de fonctionner à nouveau normalement.
02:05 Et ça a des conséquences catastrophiques.
02:07 Parce qu'évidemment quand on paralyse l'informatique d'un hôpital, il n'y a plus grand-chose qui fonctionne.
02:10 Les hôpitaux donc.
02:12 Le 30 juin dernier, les sites internet de plusieurs de nos hôpitaux.
02:15 Dont celui de l'APHP, les hôpitaux parisiens.
02:19 Rendus inaccessibles par une attaque qui a été revendiquée par un groupe de hackers soudanais.
02:23 Mais ces derniers mois, les hôpitaux de Villefranche-sur-Saône, Dax, Corbeil-Esson ont été visés également.
02:29 Pourquoi les hôpitaux ? Parce qu'ils sont particulièrement vulnérables ?
02:33 C'est probablement la meilleure explication.
02:35 Alors l'attaque à laquelle vous faites référence d'un groupe prétendument soudanais.
02:40 La dernière là.
02:40 Ce sont des soudanais qui parlent russe apparemment.
02:44 On est sur des attaques sans grandes conséquences.
02:46 C'est une simple perturbation de l'accès au site web.
02:49 Mais ce qu'on a observé, les autres exemples que vous mentionnez.
02:52 Ce sont des attaques par insongiciel.
02:54 Il y en a eu par exemple à Corbeil, à Versailles.
02:57 Dans les autres attaques, les ordinateurs ne fonctionnent plus, on passe au papier.
03:00 Il n'y a plus rien qui fonctionne.
03:01 C'est un impact catastrophique potentiellement sur un hôpital.
03:05 Pourquoi cibler les hôpitaux ?
03:08 Probablement qu'ils ne sont pas ciblés en fait.
03:09 Qu'ils sont simplement attaqués par opportunité.
03:11 Parce qu'ils sont vulnérables.
03:13 Parce que l'informatique d'un hôpital, c'est très compliqué.
03:15 C'est compliqué à sécuriser.
03:16 C'est compliqué à maintenir dans le temps.
03:17 Nous, on les accompagne évidemment.
03:21 Il y a des choses simples qui peuvent être faites pour relever le niveau de sécurité.
03:24 Surtout pour se préparer à gérer ce type d'attaques.
03:26 Et ce qu'on a observé dans les dernières attaques.
03:29 Par exemple, le CHRU de Brest qui a été attaqué en début d'année.
03:32 Avec une réaction efficace, bien préparée au moment où l'attaque se produit, on limite
03:37 très sérieusement les dégâts.
03:39 Et on fait la différence entre quelque chose qui est gênant simplement et quelque chose
03:44 qui pourrait avoir des conséquences sur l'offre de soins.
03:45 Et à Brest, il n'y a pas eu de conséquences sur l'offre de soins.
03:47 Vous avez parlé de vol de données de santé.
03:50 Combien ça se monnaie ?
03:51 Ça se monnaie potentiellement très cher.
03:53 Je ne suis pas le cours de la donnée de santé.
03:58 Mais ça peut être des centaines de milliers d'euros, voire des millions d'euros.
04:01 Ça dépend du type de données.
04:03 Ça c'est pour un paquet ?
04:04 Voilà.
04:05 Mais pour une personne, vous savez à peu près ?
04:06 Pour une personne, je ne suis pas sûr que ça se vende encore.
04:07 J'ai lu entre 5 et 700 euros.
04:08 Mais je ne sais pas si...
04:09 Sans doute quelque chose comme ça.
04:10 Qui achète ces données ? Et pourquoi ? Qui ça peut intéresser ?
04:13 Ça peut intéresser plein de gens.
04:15 Des gens qui veulent utiliser des données personnelles pour mener d'autres cyberattaques,
04:19 pour mener des arnaques simplement, de la fraude en ligne, des choses comme ça.
04:22 Ça peut intéresser des gens qui veulent faire de la recherche dans le domaine médical.
04:27 Parce que les données, c'est le nerf de la guerre dans ce domaine.
04:29 En tout cas, ces données-là trouvent toujours acheteurs.
04:34 Et donc ça fait un business sans doute florissant pour le crime organisé qui mène ce type
04:40 d'attaque.
04:41 Alors les attaques contre les hôpitaux ont des conséquences spectaculaires.
04:44 On en parle beaucoup évidemment.
04:46 Mais votre bilan 2022, Vincent Strubel, montre que la plupart des cyberattaques touchent
04:50 en fait les TPE et les PME, les très petites, petites et moyennes entreprises.
04:54 40% des attaques.
04:56 Oui, c'est un peu notre podium des victimes.
04:59 Et là encore, je pense que c'est la même logique.
05:03 Elles ne sont pas spécifiquement ciblées.
05:04 Mais les grandes victimes du crime organisé, pas des attaques d'origine étatique qui
05:09 restent très concentrées sur des choses très sensibles.
05:11 Les hackers russes ne vont pas s'attaquer à une TPE française.
05:14 Mais le crime organisé, il touche aujourd'hui principalement les hôpitaux, les collectivités
05:20 et les PME qui sont les victimes parce que ce sont des cibles faciles quelque part.
05:24 Je crois que vous fondez beaucoup d'espoir sur la nouvelle directive européenne sur
05:27 la cybersécurité.
05:28 Elle a été votée en novembre dernier.
05:30 Elle va contraindre nos entreprises à mieux se protéger, c'est ça ?
05:34 Notre défi majeur à l'Annecy, c'est de trouver des réponses à cette extension
05:38 de la menace et d'arriver à apporter de la sécurité non seulement aux administrations,
05:42 aux grands groupes qui sont ciblés de manière historique par des attaques évoluées, mais
05:46 à tout ce tissu de PME, de collectivités, d'hôpitaux.
05:50 Et pour faire ça…
05:51 Avoir les réponses ou convaincre vos interlocuteurs, les entreprises par exemple, de les utiliser ?
05:55 Je dirais un peu les deux.
05:57 Se protéger contre ce type d'attaque, contre le tout venant si j'ose dire, ce n'est
06:01 pas forcément très compliqué.
06:02 Ce sont des bonnes pratiques de base.
06:03 La réglementation, c'est un levier puissant, notamment à l'échelle européenne.
06:10 Une directive qu'on appelle NIS2, en jargon européen, qui arrivera dans le droit national
06:15 l'an prochain, nous permettra de faire ça, d'étendre la régulation avec des bonnes
06:19 pratiques de base, pas des choses très compliquées, auprès de milliers d'entreprises, de collectivités,
06:24 des établissements de santé, des universités, ce genre de victimes aujourd'hui de ce type d'attaque.
06:28 Alors, votre priorité ces prochains mois, Vincent Strubel, c'est la protection des
06:33 Jeux Olympiques de Paris 2024.
06:35 Il y a deux ans, à Tokyo, les organisateurs avaient dû faire face à 4 milliards de cyberincidents,
06:40 815 par seconde.
06:42 À quel type d'attaque est-ce que vous vous attendez pour l'année prochaine ?
06:45 Les Jeux Olympiques, c'est fondamentalement un événement hors normes à tout point de
06:50 vue, y compris celui de la cybersécurité.
06:52 C'est quelque chose qui, par sa portée symbolique, sa portée médiatique, sa portée économique,
06:57 va évidemment attirer des cyberattaques.
06:59 Et des cyberattaques de tout type.
07:00 On s'attend à des attaques de type étatique, d'origine étatique.
07:04 Il y en a eu dans des Jeux précédents, qui pourraient porter atteinte à la compétition
07:09 sportive elle-même.
07:10 On peut imaginer des attaques contre le contrôle antidopage, contre le chronométrage par exemple.
07:14 Porter atteinte aussi à la symbolique de l'événement.
07:17 On pourrait tout à fait imaginer, et ça s'est produit à Pyeongchang il y a quelques années,
07:21 une tentative de perturber la cérémonie d'ouverture.
07:24 Et ça, ça peut être d'origine étatique, ou ça peut être d'origine activiste.
07:26 On peut faire tomber une cérémonie d'ouverture depuis l'étranger ?
07:29 Tomber ou perturber d'une manière générale, en bloquant les transports, en bloquant la
07:34 billetterie, en bloquant toutes sortes de choses.
07:35 Et puis, comme je le disais, le crime organisé aujourd'hui n'est pas une personne.
07:41 Et il est évident que dans cette période particulière des Jeux Olympiques, il se déchaînera
07:45 contre l'ensemble des entités qui participent à l'organisation des Jeux, et qui seront
07:49 peut-être plus incitées à payer des rançons dans cette période particulière.
07:52 Donc il vous faut former les organisateurs ?
07:55 L'État, sur ce sujet-là, évidemment, il s'est mobilisé très tôt.
08:00 Et l'ANSI, elle est dans les starting blocks pour sécuriser les Jeux Olympiques.
08:04 On a travaillé sur les entités les plus critiques pour l'organisation des Jeux, pour les auditer,
08:10 pour leur donner des bons conseils.
08:12 On a un travail actuellement pour élargir ce cercle et pour partager ces bonnes pratiques
08:17 avec l'ensemble des acteurs qui vont contribuer à l'organisation des Jeux.
08:20 Et on aura évidemment l'occasion d'en reparler dans les prochains mois.
08:23 Merci à vous, Vincent Strubel, invité ce matin de France Inter.
08:26 Je rappelle que vous êtes directeur général de l'Agence Nationale de la Sécurité des
08:30 Systèmes d'Information.
08:31 Bonne journée à vous.