Intervention de Vincent Strubel

Dans le domaine de la cybersécurité comme dans d'autres, la concentration peut être une excellente chose ; le Campus cyber, à La Défense, en est un bon exemple puisqu'il regroupe des utilisateurs de solutions de cybersécurité, des entreprises qui les conçoivent, des chercheurs, des écoles et des services de l'État. Cela permet un essaimage croisé. Tout le monde mange à la même cantine, ce qui permet de faire circuler les idées et d'en faire naître de nouvelles. Il en va de même en Bretagne, ou à Toulouse pour le secteur aérospatial.

La concentration physique ne change pas grand-chose à la menace. Le secteur aérospatial, concentré à Toulouse, fait régulièrement l'objet de tentatives d'espionnage ; les acteurs de la cybersécurité sont aussi des cibles. Ce que l'on constate aujourd'hui, c'est plutôt un déplacement de la menace vers la supply chain, la chaîne d'approvisionnement : les sous-traitants, notamment les prestataires informatiques des cibles, sont parfois des cibles plus faciles que les entités stratégiques elles-mêmes, qui ont acquis les bonnes habitudes nécessaires. Nous sommes très vigilants. Je reprends l'exemple du secteur aérospatial : l'ANSSI travaille de longue date avec ces entreprises, avec les entités stratégiques qui font partie de la base industrielle et technologique de défense (BITD), qui sont pour la plupart des opérateurs d'importance vitale. Elles sont très sensibles à ces sujets car elles ont connu des attaques. Mais nous travaillons aussi de plus en plus avec les entités qui se trouvent en amont dans la chaîne d'approvisionnement et avec tous les acteurs de la cybersécurité.

L'ANSSI exerce de nombreux métiers : audit, conseil, utilisation de solutions de détection, réponse à incident – c'est-à-dire cyberpompier… L'un de ces métiers est la labellisation de prestataires de sécurité informatique : nous nous prononçons sur leur compétence mais aussi sur la façon dont ils sécurisent leurs propres infrastructures. C'est une démarche qui n'est pas nouvelle, puisque les premiers labels remontent à 2014. Nous étions dès ce moment-là bien conscients du fait que les acteurs de la cybersécurité étaient des cibles, d'abord parce qu'ils détiennent des technologies et un savoir-faire rare, mais aussi parce qu'ils peuvent donner accès à d'autres cibles de haute valeur, des entités qu'ils auditent, qu'ils supervisent ou pour le compte desquelles ils vont s'occuper d'infrastructures de cyberdéfense.

Je reviens à votre question après ce détour : la menace cyber est peu sensible à la localisation géographique ; la concentration d'entités spécialisées a d'énormes avantages et ne les expose pas davantage. On peut penser qu'il est alors plus facile de les espionner de façon plus traditionnelle, mais on sort là de mon champ de compétence.