Vincent Strubel, Anssi : « Les JO vont être un test de notre cybersécurité collective »
2024, année olympique, année de toutes les peurs ? L’Anssi et tous les services de l’Etat seront mobilisés cette année pour faire face à un possible déferlement d’attaques Cyber sur les intérêts français. Le directeur général de l’Agence se montre serein, mais le choc pourrait être rude.
C’est un peu la veillée d’armes pour tout l’écosystème Cyber français. Les précédentes éditions des Jeux olympiques ont été émaillées d’incidents Cyber et l’édition parisienne n'a pas de raison de faire exception. Toute la question est de savoir jusqu’où iront les pirates.
L’Agence nationale de la sécurité des systèmes d'information (Anssi) est mobilisée pour se préparer à cet événement planétaire et pour Vincent Strubel, son directeur général, « ces jeux seront un test de notre cybersécurité collective comme nous n’en avons jamais connu jusqu’à maintenant ! »
Sur la grande scène du Forum InCyber, le patron de la Cyber française a dressé un panorama rapide de l’évolution de la menace : « il y a d’une part une menace stratégique, un doux euphémisme pour ne pas dire étatique, une menace toujours aussi intense, agile et plus furtive, réactive. Elle est toujours aussi ciblée sur les mêmes entités stratégiques, même si on peut parfois avoir des surprises ». Le théâtre ukrainien montre bien que la Cyber est devenu un outil de sabotage des infrastructures qui menace aussi la partie occidentale de l’Europe.
Mais « il y a aussi cette menace systémique qui est le fait du crime organisé auquel peuvent s’ajouter des acteurs activistes. Cette menace n’est pas ciblée, n’a même pas de logique dans le choix de ses victimes. Elle est massive et n’épargne personne et touche ceux qui n’étaient pas confrontés au risque Cyber il y a quelques années ». Le directeur de l’Anssi a révélé une augmentation de 30 % des attaques signalées à ses services entre 2022 et 2023.
Les Jeux Olympiques, un événement hors normes
Si l’Anssi dispose d’un dispositif déjà bien éprouvé pour couvrir les risques liés aux élections - qui sera activé pour les prochaines élections européennes -, l’agence n’a évidemment pas l’expérience d’un événement tel que des jeux olympiques. Dès lors, « tous les projecteurs seront braqués sur la France : ceux de nos partenaires internationaux, ceux des médias et malheureusement ceux des attaquants. Nous nous attendons à ce que tous les types d’attaquants aient une attention particulière pour notre pays : certains étatiques qui voudront nuire à l’image de la France ; le crime organisé qui verra dans cette période l’équivalent de la période des soldes avec une possibilité de faire un chiffre d’affaires record ; les activistes de tous poils qui voudront se saisir du porte-voix médiatique que cet événement leur offre ».
Face à cette menace, Vincent Strudel a voulu faire preuve de confiance : « nous avons fait un énorme travail avec Paris 2024, avec les sous-traitants des organisateurs et les fédérations sportives pour se préparer, pour relever le niveau de sécurité, auditer, accompagner, sensibiliser plus de 300 entités ». Il a rappelé que les opérateurs critiques, les fameux OIV, ont déjà une solide maturité sur le volet Cyber et que tout ne doit pas être réinventé dans l’urgence.
« Confiance ne veut pas dire insouciance », tempère-t-il toutefois, « et il faut profiter des quelques mois qui nous restent pour nous entraîner à gérer des crises, s’assurer que nous avons tous des protections efficaces en place contre les attaques basiques de type déni de service, que l’on a un PCA crédible pour les autres attaques, moins basiques, et qui passeront peut-être ». L’Anssi souhaite centraliser tous les incidents Cyber lors des jeux pour devenir le point de consolidation, de tri et de hiérarchisation.
Le directeur général de l’Agence en appelle aussi à la responsabilité collective et ne pas déclencher de panique à la moindre attaque en déni de service sans gravité sur un site français.
De gros chantiers prévus pour la rentrée
Après les jeux, une rentrée chargée s’annonce pour l’Anssi, puis un grand nombre d’entreprises françaises. Le chantier NIS 2 va devenir de plus en plus concret. L’Agence a beaucoup consulté afin de rédiger sa proposition de loi de transposition, sachant que celle-ci va faire l’objet d’un débat au parlement très rapidement. L’échéance de la transposition du texte européen tombe en octobre 2024.
« Tout le monde a en tête l’échéance d’octobre 2024, mais on ne déboulera [sic] pas le lendemain pour voir qui est conforme ». Vincent Strubel a évoqué un délai de 3 ans pour la mise en conformité des entreprises à partir de la publication du texte de loi et de l’ensemble de ses décrets d’application : « cela demande à être précisé ; il faudra aller vers une certaine progressivité ; il y aura des contrôles à blanc d’ici là, mais on ne va pas distribuer les sanction tout de suite ».
Quel sera le niveau d’exigence du texte ? Vincent Strudel promet de ne pas sur-transposer le texte : « les exigences seront proportionnées au niveau de risque et il y aura une différence très claire entre les entités essentielles qui sont le niveau le plus exigeant et qui touche des entreprises de bonne taille, déjà équipées et souvent déjà régulées, et les entités importantes qui constitueront l’écrasante majorité des nouveaux acteurs régulés et qui sont moins sensibilisés, moins matures, et qu’il faudra accompagner plus longuement ».
NIS 2 doit contrer la menace systématique et non contre les menaces extrêmement pointues. Les exigences ne devraient pas être extrêmement sophistiquées, mais de l’ordre de l’hygiène de base promet le directeur de l’Anssi. Il ajoute que le texte n’imposera pas le recours à des solutions ou des prestataires qualifiés.
Beaucoup à été écrit sur le régime de sanction qui se veut particulièrement dissuasif. Il s’agit pour Vincent Strudel de porter la gouvernance de ces questions Cyber au bon niveau dans l’organigramme des entreprises, c'est-à-dire les Comex. L’Anssi sera l’autorité de contrôle de NIS 2 mais une structure indépendante va être créée, une formation collégiale afin d’infliger les sanctions. Il s’agit d’isoler les volets instruction et sanction des autres missions de l’Agence : « quand demain vous appellerez l’Anssi à l’aide, on ne fera que vous aider et nous ne rempliront pas le PV dans le même temps pour préparer la punition ! »
Autre chantier à venir, le Cyber Resilience Act (CRA). Le texte européen est en cours de finalisation qui prendra effet au même moment que NIS 2. L’Europe va imposer des exigences de sécurité basiques à tous les produits numériques vendus sur le marché européen. Le texte portera tant sur les caractéristiques intrinsèques des produits que sur leur cycle de vie. Les constructeurs devront ainsi assurer la gestion des vulnérabilités de leurs produits : « cela va rééquilibrer le partage des responsabilités entre les fournisseurs du numérique soumis au CRA et les utilisateurs régulés par NIS 2 », estime Vincent Strudel.
Le vrai problème de la Cyber n’est pas l’IA, mais un manque de ressources humaines chronique
Habituellement peu disert sur l’intelligence artificielle, le directeur général de l’Anssi s’est tout de même plié à l’exercice et à évoqué le thème sur la scène du Forum InCyber : « je ne crois pas ceux qui tiennent un discours très anxiogène disant que l’IA va décupler le pouvoir des attaquants, précipiter un Cyber Armageddon. Je ne crois pas non plus ceux qui disent que cela va résoudre trivialement tous les problèmes de Cybersécurité, détecter toutes les Cyberattaques, toutes les vulnérabilités et que cela va rapidement tous nous mener au chômage ».
Vincent Strubel reconnaît des améliorations itératives grâce aux IA, mais des progrès qui profitent tant aux attaquants qu’aux défenseurs : « notre défi est que les défenseurs en profitent au moins au même rythme que les attaquants. Nous œuvrons en ce sens notamment avec de l’innovation dans le cadre de France 2030 ».
Pour le patron de l’Agence le plus gros enjeu de la Cyber est et restera pour ces prochaines années celui de la formation et de l’attractivité des métiers : « c’est peut-être le défi qui conditionne tous les autres et qui est universel. La pénurie de talents, nous la connaissons tous et c’est le facteur limitant dans tout ce que nous entreprenons. »
Si beaucoup a été fait ces dernières années afin d’améliorer l’offre de formation, tout l’écosystème Cyber s’accorde sur les insuffisances de cette approche. « Avoir des formations, c’est bien, mais si elles ne font pas le plein, cela ne résout pas le problème […] On n’attire pas assez de jeunes sur les formations initiales, pas assez de moins jeunes vers les reconversions », constate Vincent Strubel.
Pour le patron de l'Anssi, c’est la méconnaissance des métiers Cyber, leur manque de valorisation sociale en dépit de salaires confortables, et tous les stéréotypes attachés au hacker qui expliquent ce manque d’intérêt des jeunes : « ces stéréotypes ont la vie dure... métiers exclusivement techniques, solitaires, très masculins et qui ramènent à l’image du Geek en sweat à capuche qui travaille seul dans le noir. Nous devons lutter collectivement contre ces biais si nous voulons attirer vers la cybersécurité les dizaines de milliers de personnes qui nous manquent aujourd’hui et encore plus demain ».