« Le constat est sans appel : 2018 prouve une nouvelle fois que le risque numérique, loin d’être éthéré, doit être au cœur de nos préoccupations » Dans le rapport annuel de l’ANSSI dévoilé par Guillaume Poupard, directeur général de l’agence, l’appel à un travail collectif sans relâche pour améliorer la sécurité des systèmes d’informations est renouvelé !
5 menaces majeures
En 2018, l’ANSSI a identifié cinq grandes tendances dans les menaces cyber. Au côté de l’espionnage et des opérations de déstabilisation ou d’influence, la génération de cryptomonnaies et les attaques indirectes sévissent, tandis que la fraude en ligne se diversifie.
Si les attaques les plus visibles prennent la forme de sabotage, l’espionnage est le risque qui pèse le plus sur les organisations. Discrets, patients, et bénéficiant d’un financement important, les attaquants s’intéressent de plus en plus aux secteurs d’activité d’importance vitale et aux infrastructures critiques spécifiques, comme les secteurs de la défense, de la santé ou encore de la recherche. « Des groupes très organisés préparent ce qui ressemble aux conflits de demain, en s’introduisant dans les infrastructures des systèmes les plus critiques. » souligne Guillaume Poupard.
Autre sujet de préoccupation, les opérations de déstabilisation et d’influence, particulièrement nombreuses en 2018. Sans être très sophistiquées, ces attaques ont un fort impact symbolique, lié à la nature des cibles visées et aux revendications dont elles font l’objet. Une influence qui tourne à l’ingérence lors de périodes électorales, menaçant directement nos démocraties. Après les tentatives de piratage en Allemagne du début d’année, l’ingérence Russe au cœur de l’élection présidentielle en Ukraine et à un mois seulement des élections européennes, l’ANSSI aux côtés des régulateurs que sont la CNIL ou le CSA, accompagnent les candidats. Il en va de même pour les grands évènements, et notamment le G7, qui se tiendra à Biarritz en août 2019, et en prévision des Jeux Olympiques que la France accueillera en 2024.
Autre aspect inquiétant pointé par François Deruty, sous-directeur Opérations de l’ANSSI, : l’attaque indirecte ou le « piégeage par prestataires ». Comme le souligne le rapport annuel, « la menace que représentent les attaques indirectes augmente au fur et à mesure que les cibles finales se sécurisent ». Pour atteindre une cible importante, les cyber-attaquants passent à présent par les serveurs de la supply chain. « C’est très difficile de remonter la trace de ces attaques ciblées et qui attendent la bonne opportunité pour frapper », déplore François Deruty.
L’ANSSI a également détecté des changements notables dans la fraude en ligne. 2018 a notamment vu les campagnes de rançongiciels augmenter et ces logiciels se doter d’une sécurité interne bien plus élaborée qu’auparavant. « La préoccupation croissante des opérateurs à l’égard des enjeux de sécurité numérique et le renforcement parallèle de leurs capacités de défense amènent nombre d’attaquants à se tourner vers des cibles moins exposées mais plus vulnérables. » Les collectivités territoriales, et notamment les établissements de santé, sont donc devenus des cibles de choix. Pour les protéger, l’ANSSI appelle à « fédérer l’écosystème » pour travailler conjointement à « l’instauration systématique et homogène d’une cadre en matière de sécurité numérique ».
Des réponses multiples
Face à ces menaces, l’ANSSI propose et met en œuvre plusieurs stratégies de réponse. Le management et l’analyse de risque en est une. « Comprendre pour décider » c’est donc la logique qui guide la méthode EBIOS RISK MANAGER. L’objectif est de permettre aux dirigeants d’appréhender au juste niveau les risques numériques qui pèsent sur leur organisation, au même titre que les risques stratégique, financier, juridique, d’image ou de ressources humaines.
L’ANSSI a également consolidé les liens tissés avec ses partenaires, au niveau national avec des partenariats public-public et public-privé, comme au niveau européen où la France se veut un véritable moteur de la confiance numérique. La sécurité doit en effet sortir de son domaine réservé pour associer l’ensemble des acteurs de la société numérique.
L’actualité est aussi très dense à ce sujet : la directive NIS et sa transposition responsabilise les OIV et les OSE, nouveaux acteurs sur la scène cyber. L’Appel de Paris, lui, tend à responsabiliser les Etats, mais aussi les acteurs privés et la société civile. « La France a fait de la promotion de la paix et du renforcement de la stabilité du cyberespace l’une de ses priorités. » rappelle Guillaume Poupard.
Une « zone d’incertitude » sur ce qu’il est permis ou non de faire existe aujourd’hui, porteuse de flou juridique et d’instabilité. De plus, l’absence d’obligations pour les acteurs privés de concevoir et de maintenir des solutions numériques parfaitement sécurisées accroit le risque de déstabilisation à l’échelle internationale. Des situations qu’il est nécessaire de clarifier et de traiter au niveau national comme international, tant pour les acteurs privés que pour les services de l’État. « La France défend le besoin d’objectiver les termes du débat sur des problématiques comme le hackback et la cyberdéfense active. Seule cette approche permettra de dépassionner les échanges et de fixer collectivement les limites de ces pratiques. » précise Yves Verhoeven, sous-directeur Stratégie de l’ANSSI. Et de rappeler que cette année 2019 est marquée par la concrétisation du Cybersecurity Act, aux termes de longues négociations… qui devrait donc permettre d’élever le niveau de sécurité en Europe et de créer un marché à l’échelle européenne.
Garder un temps d’avance
Avoir un temps d’avance : ambitieux en matière de cybersécurité… Garder un temps d’avance, un graal…
Il faudra donc miser sur l’anticipation, l’ouverture et le partage pour y parvenir en 2019.
Une anticipation qui passe par la recherche et un groupe de travail stratégique pour anticiper les usages. Les technologies de demain, comme l’intelligence artificielle, la santé connectée ou l’informatique quantique vont bouleverser la manière de travailler de l’ANSSI et de son écosystème. Face à ce constat, l’activité de recherche de l’agence entre dans une nouvelle dynamique pour relever, aux côtés d’experts reconnus, les nouveaux défis de la sécurité numérique.
L’agence est donc partenaire de sept laboratoires de recherche. Pour Vincent Strubel, sous-directeur Expertise, ces partenariats scientifiques existent pour « revoir les objectifs de sécurité qui existent dans le numérique ». Cette révision est centrale pour le développement de l’intelligence artificielle qui pose un défi majeur à la cybersécurité : « Ce que l’on a appliqué jusqu’à présent ne fonctionne pas ici ».
Pour aller plus loin, l’ANSSI a créé en 2018 un conseil scientifique : « pour générer des résultats, la réflexion doit être collective, ouverte et associer une diversité d’expertises. C’est pourquoi le conseil scientifique regroupe des experts extérieurs à l’agence. » Ce conseil accompagnera certainement les nouveaux logiciels libres proposés par l’ANSSI pour se rapprocher des publics et étendre le scope de l’innovation. L’Open Source est donc un acte de transparence auquel contribue l’ANSSI à hauteur de 13 projets actuellement parmi lesquels le système d’exploitation Clip OS. L’objectif est de l’enrichir sur la durée, grâce aux développements de l’ANSSI bien entendu, mais aussi en permettant aux acteurs de la communauté de contribuer à son développement, afin de mieux répondre aux usages et aux besoins spécifiques de chaque déploiement. « Nous croyons fermement en la capacité des projets Open Source à diffuser une culture de la sécurité numérique. » témoigne Timothée Ravier, chef de la cellule de développement CLIP OS de l’ANSSI.
L’éducation : autre enjeu stratégique
L’année 2018 a été marquée par une démarche éducative et de formation très forte. SecNumEdu, SecNumedu-FC, le dispositif CyberEdu ou encore le programme de sensibilisation en ligne SecNumacadémie ont fait leur apparition. Mais pour aller plus loin, il est aujourd’hui primordial de faire entrer la sécurité numérique dans les programmes scolaires. Une véritable volonté politique incite à renforcer la sensibilisation aux enjeux de la sécurité numérique dès le plus jeune âge à l’école. « La sécurité numérique doit faire son entrée dans les manuels scolaires et la formation professionnelle, pour faire de chacun un acteur engagé. » conclut Guillaume Poupard.