L’agence française de cybersécurité voudrait disposer d’un pouvoir d’injonction quand une faille est repérée

Selon son dernier rapport d’activité pour l’année 2020, l’Agence nationale de la sécurité des systèmes d’information [ANSSI] a eu à gérer 2’287 signalements relatifs à des failles de sécurité ou à des vulnérabilités ainsi que 759 incidents [dont 7 graves]. En outre, elle a mené 20 opérations de cyberdéfense.

Parmi les menaces, la plus répandue est celle des « rançongiciels », le nombre de signalement la concernant ayant quadruplé l’an passé. Et, ces derniers mois, elle a été mise sous le feu des projecteurs étant donné que plusieurs hôpitaux en ont été les victimes. Mais pas seulement : des PME et des ETI ont dû déposer leur bilan, faute d’avoir pu récupéréer leurs données. C’est en effet ce qu’a affirmé Guillaume Poupard, le directeur de l’ANSSI, lors d’une récente audition à l’Assemblée nationale.

La grande criminalité utilise « un procédé pour l’instant difficile à parer consister à s’en prendre à des cibles très variées à des fins d’extorsion. Les criminels pénétrent les réseaux, volent les données et les chiffrent pour les rendres inaccessibles à leurs victimes. Les cyberattaquants demandent ensuite le versement de rançons, de plusieurs millions d’euros, en bitcoins ou en d’autres cryptomonnaies, beaucoup plus difficiles à tracer que les devises classiques. Tous les moyens de chantage sont alors bons pour obtenir ces rançons », a expliqué M. Poupard.

Aussi, quand des entreprises sont attaquées de la sorte, elles sont « foudroyées », l’indisponibilité de leurs données numériques pouvant entraîner des « conséquences dramatiques et des pertes considérables », a souligné le directeur de l’ANSSI. Et quoi qu’il arrive, que les « victimes payent la rançon ou qu’elles s’y refusent, l’attaque leur coûte très cher », a-t-il insisté.

Les collectivités territoriales sont également concernées par ce phénomène, dont « l’impact est souvent bien plus important que pourrait le laisser croire une analyse trop rapide », a fait valoir M. Poupard, qui n’a pas caché son inquiétude à leur égard étant dnné que leur « niveau de sécurité informatique, globalement très insuffisant » et que cela « les rend vulnérables à l’explosion exponentielle de la cybercriminalité ».

Une seconde menace est celle de l’espionnage, « phénomène » qui « le plus inquiétant mais qui n’est pas, ou peu, médiatisé » et qui est « mal compris quand il l’est », a relevé M. Poupard, qui a notamment le cité l’affaire de cyberespionnage « SolarWinds ». Si elle a principalement affecté des agences fédérales et de grandes entreprises américaines, cette dernière n’a pas épargné la France, avec un millier de « victimes potentielles », dont « certaines avec des missions critiques ».

Cela étant, l’objectif des assaillants [le renseignement extérieur russe, selon Washington] étant les États-Unis, les failles détectées en France n’ont pas été exploitées, selon M. Poupard.

Une autre affaire d’espionnage qui a « beaucoup occupé » l’ANSSI a été celle concernant des vulnérabilités du logiciel Microsoft Exchange, lesquelles ont été exploitées par des « attaquants qui ont cherché à exploiter un maximum de victimes ». Aux dires de son directeur, « pendant quelques jours, on a assisté à des vagues d’attaques tous azimuts, en France comme ailleurs, sachant que ce que l’on trouve dans les messageries est toujours très intéressant en termes de renseignement ». La Chine est soupçonnée par les États-Unis d’avoir été derrière cette campagne, ce que la France n’a pas souhaité confirmer [comme l’Union européenne, du reste].

« Cette affaire a conduit l’ANSSI à mener des tests de vulnérabilité ; ils ont révélé qu’environ 15’000 serveurs auraient pu être exploités. Cela ne signifie pas que tous l’ont été mais que des failles de sécurité non corrigées permettaient l’accès aux appareils de très nombreuses entreprises et de l’administration », a révélé Guillaume Poupard.

Enfin, la troisième menace, régulièrement évoquée par le directeur de l’ANSSI lors de ses interventions devant les parlementaires, est celle du sabotage, « c’est-à-dire la cybermenace sous l’angle militaire destructif ».

« Pour la première fois, nous avons médiatisé une attaque menée en France, semblable à celle qui a visé SolarWinds mais cette fois à des fins de destruction », a dit M. Poupard, en référence à une communication de l’ANSSI faite en février dernier. Jusqu’à présent, il s’était gardé de donner des indications sur l’origine de ces cyber-attaques. Ce n’est désormais plus le cas.

« Nous avons identifié un attaquant qui s’était positionné en agent dormant dans les réseaux d’une vingtaine de victimes en France, profitant de portes dérobées utilisant le mode opératoire Sandworm, exécuté par le GRU, la direction générale des renseignements de l’état-major des forces armées de la Fédération de Russie », a en effet précisé le directeur de l’ANSSI. Et de prévenir : « Au moyen de cyberattaques discrètes et sophistiquées, nos adversaires semblent préparer les conflits de demain, qui seront également des conflits numériques. Nous devons nous y préparer en protégeant impérativement ce qui doit l’être ».

Face à de telles menaces, l’ANSSI voudrait disposer plus de pouvoirs, notamment celui consistant à imposer des mesures correctrices quand une faille est découverte dans le système informatique d’une entreprise ou d’une collectivité locale.

« Il manque l’ANSSI un pouvoir d’injonction » car « actuellement, ce que nous disons est considéré comme une information parmi d’autres », a en effet déploré M. Poupard.

Ainsi, a-t-il continué, « après avoir détecté 15’000 attaques possibles sur les serveurs de Microsoft Exchange, nous avons prévenu les quelques milliers de victimes potentielles que nous avons réussi à joindre. Or, 3 % d’entre elles seulement nous ont répondu ». Aussi, pour lui, il est « inacceptable que des gens auxquels on dit : ‘Vous êtes assis sur une bombe’ ne traitent pas la question » alors que les agences américains qui s’occupent de cybersécurité ont un tel pouvoir d’injonction, qui a été « récemment durci », les agences fédérales averties d’une faille ayant 48 heure pour prendre des mesures avant d’être sanctionnées.

« Une disposition légale donnant à l’ANSSI un pouvoir d’injonction serait une étape supplémentaire dans le développement de notre écosystème cyber et motiverait davantage encore ceux qui bénéficient de nos services », a plaidé M. Poupard. « Tout cela doit rester évidemment bienveillant et dans une logique d’accompagnement de la montée en compétences, mais il en va de la cybersécurité nationale », a-t-il ajouté.

Car, a-t-il dit, « lorsqu’une PME subit une cyberattaque, on est face à un triste fait divers. Si 10 000 étaient attaquées en même temps, ce qui est tout à fait possible, au-delà de l’effet économique la sécurité nationale serait effectivement en jeu. »

Photo : Ministère des Armées

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]