Cybersécurité et cyberdéfense : un sujet géopolitique - Guillaume Poupard
Titre : Cybersécurité et cyberdéfense : un sujet géopolitique
Intervenant·e·s : Guillaume Poupard - ???
Lieu : Palais des Congrès, Porte Maillot - Paris - Devoxx FR 2024
Date : 18 avril 2024
Durée : 28 min 49
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : Transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Description
La cybersécurité est souvent vue, à juste titre, sous un angle technique, opérationnel et réglementaire. L’incroyable évolution de la menace informatique nous concerne tous, à titre individuel, au niveau des organisations, mais également à l’échelle des États.
Dans un contexte général de fortes tensions géopolitiques, le cyber est devenu un ingrédient majeur dont l’usage se systématise dans des conflits qualifiés « d’hybrides ». Passionnante et effrayante, cette militarisation de l’espace numérique nous concerne toutes et tous !
Transcription
Présentatrice : Un autre sujet un sujet, aussi très simple, on passe à la cybersécurité, tout ce qui est sécurité, avec Guillaume Poupard qui vient nous parler de ce sujet.
Guillaume, tu as fait Polytechnique, tu es docteur en cryptographie. Je vais lire : tu as démarré en chef de laboratoire en cryptologie à la Direction centrale de la sécurité des systèmes d’information qui deviendra, en 2009, l’Agence nationale de la sécurité des systèmes d’information. De là, tu as aussi été au ministère de la Défense, toujours à la sécurité, cryptographie, etc., et tu es aussi, depuis 2014, la Direction nationale de l’ANSSI [Agence nationale de la sécurité des systèmes d’information]. Depuis l’année dernière, tu es passé à Docaposte en tant que directeur-adjoint, pareil, dans la cybersécurité, data, IA, c’est ton domaine d’expertise. La scène est à toi. Un grand d’applaudissement.
[Applaudissements]
Guillaume Poupard : Merci beaucoup. Merci pour l’invitation. C’est sympa de venir, moi aussi, vous annoncer la fin du monde.
Il y a plusieurs manières d’arriver à cette fin ultime, la mienne, ma préférée, c’est la cyber. On verra, je n’ai pas de courbe à montrer, je n’ai pas d’expérience non plus, mais, de fait, c’est fait quand même un sujet un peu complexe et, en même temps, absolument passionnant.
Donc aujourd’hui, pour compléter quand même pour mes amis qui ne sont pas loin d’ici, Docaposte, vous ne connaissez pas ou peut-être pas, c’est une filiale de La Poste. La Poste fait du numérique, du cyber, du cloud, tout ça. Oui, c’est surprenant, j’étais surpris de savoir tout ce qu’on fait à La Poste et puis on a surtout nos amis de ??? [2 min 27], qui sont ici, je les cite parce qu’ils ont un stand, si vous voulez aller vous amuser sur un stand, n’hésitez pas à aller les voir, ils sont tout bleus, ils ne sont pas jaunes, il y a un piège, ils sont tout bleus et ça fait partie de Docaposte, tout simplement.
Donc cyber.
Il y a 10/15 ans, le temps passe vite, déjà on ne parlait pas de cyber devant une salle aussi remplie, d’une telle qualité. Aujourd’hui, on en parle parce que les médias en parlent. Les médias en parlent parce que c’est un sujet, il faut quand même que je le dise, c’est du sang et des larmes. On a constamment des situations assez dures de victimes, de gens qui se font attaquer, qui n’ont rien demandé, qui se retrouvent dans de très mauvaises situations à cause d’attaques informatiques. Ce qui domine, au niveau médiatique, e sont des attaques criminelles, en fait. C’est assez surprenant parce que c’est allé très vite, ça n’a que quelques années, ça date de 2017/2018, ce n’est vraiment pas vieux, cette idée que par de l’attaque informatique, en faisant de l’intrusion dans les réseaux, dans les systèmes d’information, eh bien il y avait un modèle économique – je choisis mes mots exprès – absolument incroyable pour le crime organisé. Le crime organisé n’a pas attendu le cyber et le numérique pour faire des choses, tout y passe, mais aujourd’hui, pour une start-up du crime organisé, ce qui marche c’est le cyber. Pourquoi ? D’abord, parce que ce n’est pas compliqué, parce que ce sont des start-ups qui ont tout de suite un marché mondial, elles ont l’embarras du choix, elles peuvent se mettre absolument où elles veulent, y compris dans des zones de non-droit, ce n’est pas ce qui manque, malheureusement, et puis voilà ! Quand une s’arrête, d’autres repartent et ainsi de suite. Sans aucun cynisme, une petite zone de non-droit assez intéressante en ce moment, depuis quelques années, c’est la Crimée, vous voyez où c’est la Crimée ?
Évidemment, quand la justice estime que des gens ont fait des choses mal à l’étranger, il y a des mécanismes de coopération judiciaire qui se mettent en place et on demande de l’aide, les pays passent leur temps à s’aider. Il n’y a pas besoin d’être de grands amis pour s’aider, pour lutter contre le crime, dans le monde, c’est quelque chose qu’on dépasse. Et puis pour des raisons géopolitiques que vous comprendrez, quand on a besoin d’entraide judiciaire sur la Crimée, on demande à l’Ukraine, que ça ne fait plus rire du tout, depuis un certain temps. Évidemment, on ne va pas demander à la Russie, parce que ce serait reconnaître que la Crimée est devenue russe.
C’est juste un exemple tout bête de zone de non-droit, et aller se mettre là ou ailleurs, il y a plein d’autres dans le monde où, pour ses attaquants, ces start-ups du crime, c’est facile d’aller se planquer.
Et puis c’est facile aussi pour des criminels qui vont juste chercher à rentrer dans des systèmes pour tout bloquer, pour voler les données, pour créer le chaos, il y a l’embarras du choix des victimes. L’important, c’est que les victimes puissent être dans une telle situation qu’elles n’aient pas d’autre choix que de payer les rançons, si elles n’ont pas été bien préparées à ce genre de chose.
On a vécu ça en France, je suis désolé, c’est un peu lourd, en 2019. 2019 c’est juste avant 2020, 2020 c’est le Covid et on a vu plein d’hôpitaux se faire attaquer. Pourquoi ? Il y a différents cas. Pour certains, un hôpital, c’est un truc où il y a plein d’argent, donc payer des rançons, pourquoi pas. Il y a donc des purs méchants, des purs cyniques, qui attaquent les hôpitaux. Je me souviens d’un attaquant qui disait « cet hôpital-là fait 600 millions de chiffre d’affaires, il confondait un peu chiffre d’affaires, budget et tout, il peut bien payer un million de rançon ! ». C’est gênant pour répondre !
D’autres n’attaquent pas un hôpital, ils attaquent une adresse IP, ils ne savent même pas où ils sont et ils ne parlent pas toujours très bien le français.
Donc il y en a, comme ça, par de l’interaction avec ces attaquants, à qui on a dit « quand, là on est en plein Covid, vous avez bloqué un hôpital, ce n’est pas cool. – Ah ouais, pardon ! », et ils renvoyaient les clés ! Tout existe, il y a des champions partout ! Bref !, je ne veux pas élaborer sur les rançonnages d’hôpital, mais c’est quand même un truc un peu bizarre. C’est un peu bizarre. Dans le monde classique, je dis pas que le monde classique est beau, mais enfin, normalement on n’attaque pas les hôpitaux, ça ne se fait pas ces choses-là, même en temps de guerre. Dans ce monde-là, dans le monde numérique, on attaque les hôpitaux !
Pire encore. Ces groupes criminels, c’est plus compliqué que ça, ce sont très souvent des nébuleuses, ce n’est pas aussi structuré qu’on pourrait l’imaginer, on en a vu donner des instructions à leurs participants, des espèces de coalition, je ne sais pas comment appeler cela : il y en a qui font les outils, il y en a qui dirigent un peu le groupe et puis il y a des sortes de mules, en fait, qui vont utiliser ces outils pour attaquer, pour leur propre compte, en payant une sorte de redevance ou une licence au groupe qui est au-dessus. On a vu des groupes, comme ça, dire « OK, par contre les gars, vous n’attaquez pas les hôpitaux ». On pourrait se dire que c’est bien, il y a quand même des limites. En fait non ! On s’est juste rendu compte que, je ne veux pas vous donner de mauvaises idées, mais quand vous faites de la cybercriminalité, il faut être pénible, mais pas trop ! Quand vous arrivez dans le dans le top 10 des grands pénibles, là vous attirez l’attention de tous les grands pays, de tous les grands services, la France, évidemment, mais surtout les États-Unis, et c’est là où vous en prenez un. D’ailleurs, régulièrement, dans la presse, il y a des annonces « on a arrêté tel groupe, il a été démantelé », il y a des photos incroyables de prises et tout. Il ne faut pas être dans le top 10 pour éviter de… Je veux pas donner trop de mauvaises idées, j’arrête là.
Ça, c’est ce qu’on voit de la cybercriminalité aujourd’hui. C’est une vraie plaie. C’est une vraie plaie pour les grands acteurs économiques, c’est surtout une vraie plaie pour les petits, les PME, les collectivités locales, tous ces gens qui sont pas hyper à l’aise avec le numérique en général, encore moins avec la sécurité numérique, ça peut leur tomber dessus comme la foudre et ça peut être absolument catastrophique pour eux. Protéger ces gens-là, ça fait actuellement partie de mes projets, il y a quelque chose d’utile autour de ça et il faut le faire parce qu’on n’y est pas du tout.
Je vous raconte tout ça pour dire que ce n’est pas le pire, pour ceux qui ont encore un peu le moral.
Quand j’étais à l’ANSSI, 80 % de notre énergie, du temps qu’on passait et tout ça, ce n’était pas là-dessus, c’était sur l’espionnage, en fait, ce dont, par contre, on ne parle jamais. Ce n’est pas que les médias ne voudraient pas en parler, évidemment, mais, comme on ne leur dit rien, ils n’ont pas grand-chose à dire, donc c’est moins facile. Mais l’espionnage, c’est très bizarre. J’avais un ancien adjoint qui disait que c’était le vrai plus vieux métier du monde, je vous laisse réfléchir sur cette grande pensée. En fait, l’espionnage s’est complètement révolutionné avec l’arrivée du numérique. Espionner, c’est comme dans les films, allez voir Le Bureau des légendes, on peut envoyer des clandestins, on peut faire de l’interception par des sources humaines, tout ça est très codifié, très organisé. En fait, par le numérique, par l’attaque informatique, vous allez directement chercher l’information là où elle se trouve – et ça peut être très bien planqué –, il n’y a pas de serrure à ouvrir, c’est l’histoire du numérique, et puis vous pouvez faire ça depuis chez vous, dans des conditions de sécurité, pour les personnes, qui n’ont rien à voir, et en espérant ne pas vous faire prendre. Et quand bien même vous vous faites prendre, bon courage à celui qui vous attrape pour réussir à vous accuser, faire de l’attribution, comme on dit, et dire « c’est vous qui m’avez attaqué ». Donc, pour les espions, cette affaire c’est du bonheur !
Mais, par nature, les espions sont très discrets, parce que le but, quand on va rentrer, comme ça, pour voler de l’information, en général, ce n’est pas de faire un coup. Ceux qui sont sérieux vont chercher à rentrer, ils vont se tapir dans les systèmes, ils vont prendre juste ce qu’il faut pour pas se faire voir, avec l’espoir que ça dure pendant des années, évidemment. Donc les attaquants, contrairement aux criminels que je mentionnais avant, sont hyper discrets.
Les victimes, très souvent, ne s’en rendent pas compte pendant un certain temps. Je ne sais plus où en sont les statistiques, mais on estime que ce genre d’attaque met plusieurs mois, voire plusieurs années, à être découverte, dans les pires cas.
Je vous laisse imaginer la tête des dirigeants, des décideurs, quand on leur explique que leur système d’information, à commencer par leurs mails, leurs simples mails, sont probablement écoutés, aspirés, utilisés par on sait trop qui depuis des années. Sur le coup, c’est la sidération qui l’emporte et puis, assez vite, « de toute manière c’est trop tard », on arrive à se convaincre que ce n’est pas si grave, mais ça, c’est la deuxième étape et ce n’est pas la bonne.
Donc les victimes, quelque part, déjà elles n’ont pas envie de le dire, parce que se faire espionner c’est quand même un peu honteux, et puis « que vont penser mes partenaires, que vont penser mes collaborateurs, que vont penser mes clients, qu’est-ce que vont faire mes concurrents ? » Regardez, vous ne verrez pas beaucoup de victimes expliquer, faire la promotion de ce genre d’attaque et je comprends.
Et puis les derniers qui savent, c’est-à-dire ceux qui aident, que ce soit du côté de l’État ou du côté du secteur privé qui apporte ses compétences, en général ils n’en parlent pas, parce que le but ce n’est pas de créer sur-accident, ce n’est pas d’aller rajouter du malheur au malheur, donc personne n’en parle, c’est ça la réalité et c’est très dur à estimer. En tout cas, ce qui est certain – ce n’est pas quantitatif, c’est purement qualitatif –, mais pour un pays comme la France, pour l’Europe, le bilan est extrêmement négatif dans ce jeu mondial. On perd beaucoup plus qu’on ne gagne à un jeu comme celui-là, parce qu’on n’a pas exactement la même éthique, les mêmes valeurs que l’autre et je ne désigne personne, mais je pense à certains !
J’ai dit 80 % de l’activité de l’Insee, mais ce n’est pas le plus grave non plus.
Ce sera ma conclusion, demi-conclusion, le vrai sujet que je voulais aborder avec vous.
