Intervention de Vincent Strubel

L'ANSSI, placée sous l'autorité du SGDSN, joue le rôle de chef de file dans le dispositif national de cybersécurité – car nous ne sommes pas les seuls à nous occuper de ces questions : il existe des services dédiés au sein du ministère de l'intérieur et du ministère des armées, et chaque ministère assure sa propre protection. L'ANSSI collabore avec ces services et nous nous efforçons tous de mener des politiques cohérentes.

L'agence compte environ 600 agents. Son action se décline selon trois grands axes.

Le premier consiste à répondre aux cyberattaques. Il s'agit de les détecter, de les analyser, de chasser l'attaquant lorsqu'il est toujours présent et, le cas échéant, de passer la main à la justice, à qui il revient de réprimer les crimes. Nous exerçons cette mission en liaison étroite avec l'ensemble des acteurs concernés et pertinents pour le sujet, à savoir les services de renseignements, qui ont des éléments complémentaires à apporter, et la justice. Nous collaborons dans un cadre clair et qui fonctionne bien : le centre de coordination des crises cyber (C4).

Le deuxième axe consiste à sécuriser l'État. Nous veillons à ce qu'il ne soit pas une victime facile. Certes, la sécurité absolue n'est qu'une chimère, mais nous nous efforçons de relever globalement le niveau de sécurité de l'État, de ses opérateurs et de ses établissements, en coordination étroite avec l'ensemble des ministères : chacun d'entre eux est responsable de son système informatique, donc de sa sécurité, mais nous partageons des exigences, ainsi que des indicateurs permettant de mesurer les menaces, et nous rendons compte des progrès réalisés à nos autorités politiques respectives.

Le troisième axe est plus difficile à définir. Pour simplifier, il s'agit de protéger nos concitoyens – non seulement les individus, mais également les entreprises et les associations, car l'ensemble du tissu économique et social fait l'objet de cyberattaques. Nous déployons un éventail de mesures très large, commençant par la formation. Dès le collège, il est important de sensibiliser les futurs citoyens à ces enjeux. C'est d'ailleurs l'occasion de leur parler des carrières dans le domaine de la cybersécurité, car nous cherchons toujours des personnels qualifiés. Nous participons également à l'organisation de la réponse aux attaques dans les services de proximité, y compris la gendarmerie et la police, et au déploiement de mesures de sécurité parmi les opérateurs économiques et dans le tissu associatif.

On ne cesse de répéter que la menace va crescendo ; c'est une réalité. Elle se matérialise dans trois principaux types d'attaque auxquelles nous faisons face.

La première catégorie, la plus visible et la plus importante – en quantité, mais peut-être pas pour ce qui est de son impact –, est celle que l'on désigne par le vocable de « cybercriminalité ». Il s'agit des activités criminelles ayant, pour l'essentiel, une visée lucrative. Il est beaucoup question de rançongiciels, qui paralysent des systèmes et proposent de les débloquer en échange d'une rançon, mais d'autres pratiques entrent dans cette catégorie, telles que l'extorsion de données, l'exigence de rançons en échange de la non-publication de données, ou encore les activités visant à détourner des systèmes pour produire de la cryptomonnaie. En amont et en aval de ces activités criminelles, un écosystème s'est constitué. L'objectif de ces activités est de produire de l'argent, au profit de groupes appartenant au monde du crime organisé même si la frontière avec d'autres types d'acteurs est parfois floue.

Les auteurs de ces attaques ne ciblent personne en particulier : ils pratiquent une sorte de pêche au chalut. C'est ce qui vaut à nos hôpitaux d'en être régulièrement victimes, avec des conséquences parfois graves et particulièrement abjectes, quand bien même les règles de la comptabilité publique interdisent de verser la moindre rançon – ce que les criminels commencent à comprendre, me semble-t-il. Les PME et les collectivités sont également des cibles récurrentes. En général, ce sont les entités les plus vulnérables qui se font prendre au piège. De grandes entreprises ont été victimes de ces pratiques il y a quelques années, mais elles ont relevé leur niveau de sécurité pour s'en prémunir.

Dans la deuxième catégorie de menaces, nous plaçons celles qui relèvent de l'espionnage. On en parle peu, puisque, par construction, l'attaquant cherche à rester discret, et nous le sommes également quand nous traitons ce type d'affaire, mais ce sont elles qui mobilisent l'essentiel de notre activité de réponse à des incidents, car il s'agit d'opérations longues, très complexes, touchant l'ensemble des entreprises stratégiques ainsi que l'État. Nous découvrons des attaquants qui, graduellement, récupèrent des secrets ou des informations sensibles, parfois depuis des mois, voire des années.

La troisième catégorie rassemble les actes de « sabotage » – mais, là encore, c'est un raccourci de langage – ou de « déstabilisation stratégique ». Comme l'espionnage, ces menaces sont en général le fait d'États. Elles visent à perturber le fonctionnement d'infrastructures stratégiques, ou bien, ce qui est encore plus pernicieux, à se mettre en position de le faire le moment venu. Nous en avons eu un exemple très récemment, au début de l'affrontement russo-ukrainien, avec la paralysie du service KA-SAT, une infrastructure de communications par satellite opérée par Viasat. Cette opération de sabotage a eu des conséquences sur le territoire ukrainien, mais aussi bien au-delà : elle a largement débordé sur le territoire français. Nous observons également un autre cas de figure : certaines personnes prennent la main sur des systèmes d'information et s'y installent très discrètement, sans récupérer d'informations à la différence des espions. Nous supposons qu'elles attendent l'ordre de tout détruire – perspective qui nous inquiète tout particulièrement.

L'ANSSI ne nomme ni les victimes ni les attaquants. S'agissant des victimes, si elles choisissent de communiquer ou y sont contraintes par certaines règles juridiques, c'est à elles qu'il appartient de le faire ; en général, le nom d'une victime est pour l'ANSSI une information classifiée. En ce qui concerne l'attaquant, nous identifions un mode opératoire le désignant, mais nous ne spéculons pas sur son identité. Il revient à la justice de dire de qui il s'agit – lorsque l'affaire est judiciarisée –, avec le niveau d'exigence qui lui est propre en matière de preuves. Cela peut également relever d'une décision des autorités politiques, lesquelles choisissent parfois, notamment quand l'auteur des faits est un autre État, d'actionner des leviers, diplomatiques ou autres, pour lui signifier notre courroux justifié.

L'ANSSI se borne à désigner des modes opératoires, parfois au moyen de phrases alambiquées qui reflètent cette réalité fondamentale : nos connaissances techniques ne nous permettent pas de savoir de qui émane l'attaque, et nous ne cherchons pas à identifier des individus, ni même des États.