Cybersécurité et cyberdéfense : un sujet géopolitique - Guillaume Poupard

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Cybersécurité et cyberdéfense : un sujet géopolitique

Intervenant·e·s : Guillaume Poupard - Présentatrice

Lieu : Palais des Congrès, Porte Maillot - Paris - Devoxx FR 2024

Date : 18 avril 2024

Durée : 28 min 49

Vidéo

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : Transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description[modifier]

La cybersécurité est souvent vue, à juste titre, sous un angle technique, opérationnel et réglementaire. L’incroyable évolution de la menace informatique nous concerne tous, à titre individuel, au niveau des organisations, mais également à l’échelle des États.
Dans un contexte général de fortes tensions géopolitiques, le cyber est devenu un ingrédient majeur dont l’usage se systématise dans des conflits qualifiés « d’hybrides ». Passionnante et effrayante, cette militarisation de l’espace numérique nous concerne toutes et tous !

Transcription[modifier]

Présentatrice : Un autre sujet un sujet, aussi très simple, on passe à la cybersécurité, tout ce qui est sécurité, avec Guillaume Poupard qui vient nous parler de ce sujet.
Guillaume, tu as fait Polytechnique, tu es docteur en cryptographie. Je vais lire : tu as démarré en chef de laboratoire en cryptologie à la Direction centrale de la sécurité des systèmes d’information qui deviendra, en 2009, l’Agence nationale de la sécurité des systèmes d’information. De là, tu as aussi été au ministère de la Défense, toujours à la sécurité, cryptographie, etc., et tu es aussi, depuis 2014, la Direction nationale de l’ANSSI [Agence nationale de la sécurité des systèmes d’information]. Depuis l’année dernière, tu es passé à Docaposte en tant que directeur-adjoint, pareil, dans la cybersécurité, data, IA, c’est ton domaine d’expertise. La scène est à toi. Un grand d’applaudissement.

[Applaudissements]

Guillaume Poupard : Merci beaucoup. Merci pour l’invitation. C’est sympa de venir, moi aussi, vous annoncer la fin du monde.
Il y a plusieurs manières d’arriver à cette fin ultime, la mienne, ma préférée, c’est la cyber. On verra, je n’ai pas de courbe à montrer, je n’ai pas d’expérience non plus, mais, de fait, c’est fait quand même un sujet un peu complexe et, en même temps, absolument passionnant.
Donc aujourd’hui, pour compléter quand même pour mes amis qui ne sont pas loin d’ici, Docaposte, vous ne connaissez pas ou peut-être pas, c’est une filiale de La Poste. La Poste fait du numérique, du cyber, du cloud, tout ça. Oui, c’est surprenant, j’étais surpris de savoir tout ce qu’on fait à La Poste et puis on a surtout nos amis de ??? [2 min 27], qui sont ici, je les cite parce qu’ils ont un stand, si vous voulez aller vous amuser sur un stand, n’hésitez pas à aller les voir, ils sont tout bleus, ils ne sont pas jaunes, il y a un piège, ils sont tout bleus et ça fait partie de Docaposte, tout simplement.

Donc cyber.
Il y a 10/15 ans, le temps passe vite, déjà on ne parlait pas de cyber devant une salle aussi remplie, d’une telle qualité. Aujourd’hui, on en parle parce que les médias en parlent. Les médias en parlent parce que c’est un sujet, il faut quand même que je le dise, c’est du sang et des larmes. On a constamment des situations assez dures de victimes, de gens qui se font attaquer, qui n’ont rien demandé, qui se retrouvent dans de très mauvaises situations à cause d’attaques informatiques. Ce qui domine, au niveau médiatique, e sont des attaques criminelles, en fait. C’est assez surprenant parce que c’est allé très vite, ça n’a que quelques années, ça date de 2017/2018, ce n’est vraiment pas vieux, cette idée que par de l’attaque informatique, en faisant de l’intrusion dans les réseaux, dans les systèmes d’information, eh bien il y avait un modèle économique – je choisis mes mots exprès – absolument incroyable pour le crime organisé. Le crime organisé n’a pas attendu le cyber et le numérique pour faire des choses, tout y passe, mais aujourd’hui, pour une start-up du crime organisé, ce qui marche c’est le cyber. Pourquoi ? D’abord, parce que ce n’est pas compliqué, parce que ce sont des start-ups qui ont tout de suite un marché mondial, elles ont l’embarras du choix, elles peuvent se mettre absolument où elles veulent, y compris dans des zones de non-droit, ce n’est pas ce qui manque, malheureusement, et puis voilà ! Quand une s’arrête, d’autres repartent et ainsi de suite. Sans aucun cynisme, une petite zone de non-droit assez intéressante en ce moment, depuis quelques années, c’est la Crimée, vous voyez où c’est la Crimée ?
Évidemment, quand la justice estime que des gens ont fait des choses mal à l’étranger, il y a des mécanismes de coopération judiciaire qui se mettent en place et on demande de l’aide, les pays passent leur temps à s’aider. Il n’y a pas besoin d’être de grands amis pour s’aider, pour lutter contre le crime, dans le monde, c’est quelque chose qu’on dépasse. Et puis pour des raisons géopolitiques que vous comprendrez, quand on a besoin d’entraide judiciaire sur la Crimée, on demande à l’Ukraine, que ça ne fait plus rire du tout, depuis un certain temps. Évidemment, on ne va pas demander à la Russie, parce que ce serait reconnaître que la Crimée est devenue russe.
C’est juste un exemple tout bête de zone de non-droit, et aller se mettre là ou ailleurs, il y a plein d’autres dans le monde où, pour ses attaquants, ces start-ups du crime, c’est facile d’aller se planquer.
Et puis c’est facile aussi pour des criminels qui vont juste chercher à rentrer dans des systèmes pour tout bloquer, pour voler les données, pour créer le chaos, il y a l’embarras du choix des victimes. L’important, c’est que les victimes puissent être dans une telle situation qu’elles n’aient pas d’autre choix que de payer les rançons, si elles n’ont pas été bien préparées à ce genre de chose.

On a vécu ça en France, je suis désolé, c’est un peu lourd, en 2019. 2019 c’est juste avant 2020, 2020 c’est le Covid et on a vu plein d’hôpitaux se faire attaquer. Pourquoi ? Il y a différents cas. Pour certains, un hôpital, c’est un truc où il y a plein d’argent, donc payer des rançons, pourquoi pas. Il y a donc des purs méchants, des purs cyniques, qui attaquent les hôpitaux. Je me souviens d’un attaquant qui disait « cet hôpital-là fait 600 millions de chiffre d’affaires, il confondait un peu chiffre d’affaires, budget et tout, il peut bien payer un million de rançon ! ». C’est gênant pour répondre !
D’autres n’attaquent pas un hôpital, ils attaquent une adresse IP, ils ne savent même pas où ils sont et ils ne parlent pas toujours très bien le français.
Donc il y en a, comme ça, par de l’interaction avec ces attaquants, à qui on a dit « quand, là on est en plein Covid, vous avez bloqué un hôpital, ce n’est pas cool. – Ah ouais, pardon ! », et ils renvoyaient les clés ! Tout existe, il y a des champions partout ! Bref !, je ne veux pas élaborer sur les rançonnages d’hôpital, mais c’est quand même un truc un peu bizarre. C’est un peu bizarre. Dans le monde classique, je dis pas que le monde classique est beau, mais enfin, normalement on n’attaque pas les hôpitaux, ça ne se fait pas ces choses-là, même en temps de guerre. Dans ce monde-là, dans le monde numérique, on attaque les hôpitaux !
Pire encore. Ces groupes criminels, c’est plus compliqué que ça, ce sont très souvent des nébuleuses, ce n’est pas aussi structuré qu’on pourrait l’imaginer, on en a vu donner des instructions à leurs participants, des espèces de coalition, je ne sais pas comment appeler cela : il y en a qui font les outils, il y en a qui dirigent un peu le groupe et puis il y a des sortes de mules, en fait, qui vont utiliser ces outils pour attaquer, pour leur propre compte, en payant une sorte de redevance ou une licence au groupe qui est au-dessus. On a vu des groupes, comme ça, dire « OK, par contre les gars, vous n’attaquez pas les hôpitaux ». On pourrait se dire que c’est bien, il y a quand même des limites. En fait non ! On s’est juste rendu compte que, je ne veux pas vous donner de mauvaises idées, mais quand vous faites de la cybercriminalité, il faut être pénible, mais pas trop ! Quand vous arrivez dans le dans le top 10 des grands pénibles, là vous attirez l’attention de tous les grands pays, de tous les grands services, la France, évidemment, mais surtout les États-Unis, et c’est là où vous en prenez un. D’ailleurs, régulièrement, dans la presse, il y a des annonces « on a arrêté tel groupe, il a été démantelé », il y a des photos incroyables de prises et tout. Il ne faut pas être dans le top 10 pour éviter de… Je veux pas donner trop de mauvaises idées, j’arrête là.

Ça, c’est ce qu’on voit de la cybercriminalité aujourd’hui. C’est une vraie plaie. C’est une vraie plaie pour les grands acteurs économiques, c’est surtout une vraie plaie pour les petits, les PME, les collectivités locales, tous ces gens qui sont pas hyper à l’aise avec le numérique en général, encore moins avec la sécurité numérique, ça peut leur tomber dessus comme la foudre et ça peut être absolument catastrophique pour eux. Protéger ces gens-là, ça fait actuellement partie de mes projets, il y a quelque chose d’utile autour de ça et il faut le faire parce qu’on n’y est pas du tout.

Je vous raconte tout ça pour dire que ce n’est pas le pire, pour ceux qui ont encore un peu le moral.
Quand j’étais à l’ANSSI, 80 % de notre énergie, du temps qu’on passait et tout ça, ce n’était pas là-dessus, c’était sur l’espionnage, en fait, ce dont, par contre, on ne parle jamais. Ce n’est pas que les médias ne voudraient pas en parler, évidemment, mais, comme on ne leur dit rien, ils n’ont pas grand-chose à dire, donc c’est moins facile. Mais l’espionnage, c’est très bizarre. J’avais un ancien adjoint qui disait que c’était le vrai plus vieux métier du monde, je vous laisse réfléchir sur cette grande pensée. En fait, l’espionnage s’est complètement révolutionné avec l’arrivée du numérique. Espionner, c’est comme dans les films, allez voir Le Bureau des légendes, on peut envoyer des clandestins, on peut faire de l’interception par des sources humaines, tout ça est très codifié, très organisé. En fait, par le numérique, par l’attaque informatique, vous allez directement chercher l’information là où elle se trouve – et ça peut être très bien planqué –, il n’y a pas de serrure à ouvrir, c’est l’histoire du numérique, et puis vous pouvez faire ça depuis chez vous, dans des conditions de sécurité, pour les personnes, qui n’ont rien à voir, et en espérant ne pas vous faire prendre. Et quand bien même vous vous faites prendre, bon courage à celui qui vous attrape pour réussir à vous accuser, faire de l’attribution, comme on dit, et dire « c’est vous qui m’avez attaqué ». Donc, pour les espions, cette affaire c’est du bonheur !
Mais, par nature, les espions sont très discrets, parce que le but, quand on va rentrer, comme ça, pour voler de l’information, en général, ce n’est pas de faire un coup. Ceux qui sont sérieux vont chercher à rentrer, ils vont se tapir dans les systèmes, ils vont prendre juste ce qu’il faut pour pas se faire voir, avec l’espoir que ça dure pendant des années, évidemment. Donc les attaquants, contrairement aux criminels que je mentionnais avant, sont hyper discrets.
Les victimes, très souvent, ne s’en rendent pas compte pendant un certain temps. Je ne sais plus où en sont les statistiques, mais on estime que ce genre d’attaque met plusieurs mois, voire plusieurs années, à être découverte, dans les pires cas.
Je vous laisse imaginer la tête des dirigeants, des décideurs, quand on leur explique que leur système d’information, à commencer par leurs mails, leurs simples mails, sont probablement écoutés, aspirés, utilisés par on sait trop qui depuis des années. Sur le coup, c’est la sidération qui l’emporte et puis, assez vite, « de toute manière c’est trop tard », on arrive à se convaincre que ce n’est pas si grave, mais ça, c’est la deuxième étape et ce n’est pas la bonne.
Donc les victimes, quelque part, déjà elles n’ont pas envie de le dire, parce que se faire espionner c’est quand même un peu honteux, et puis « que vont penser mes partenaires, que vont penser mes collaborateurs, que vont penser mes clients, qu’est-ce que vont faire mes concurrents ? » Regardez, vous ne verrez pas beaucoup de victimes expliquer, faire la promotion de ce genre d’attaque et je comprends.
Et puis les derniers qui savent, c’est-à-dire ceux qui aident, que ce soit du côté de l’État ou du côté du secteur privé qui apporte ses compétences, en général ils n’en parlent pas, parce que le but ce n’est pas de créer sur-accident, ce n’est pas d’aller rajouter du malheur au malheur, donc personne n’en parle, c’est ça la réalité et c’est très dur à estimer. En tout cas, ce qui est certain – ce n’est pas quantitatif, c’est purement qualitatif –, mais pour un pays comme la France, pour l’Europe, le bilan est extrêmement négatif dans ce jeu mondial. On perd beaucoup plus qu’on ne gagne à un jeu comme celui-là, parce qu’on n’a pas exactement la même éthique, les mêmes valeurs que l’autre et je ne désigne personne, mais je pense à certains ! J’ai dit 80 % de l’activité de l’Insee, mais ce n’est pas le plus grave non plus.
Ce sera ma conclusion, demi-conclusion, le vrai sujet que je voulais aborder avec vous.

13’ 53[modifier]

En fait aujourd’hui, même si c’est lourd à penser, ce sujet cyber est devenu un sujet de conflits, un sujet géopolitique, parce que, par le biais d’attaques informatiques, certes on peut embêter des gens pour demander des rançons, certes on peut voler des données, mais on peut aussi complètement paralyser des systèmes numériques, physiques, tout se mélange, vous le savez, le numérique est partout mais, à la fin, c’est du physique. La très grande peur que l’on a, quand on commence à faire des scénarios, c’est de se demander : où est-ce que ça pourrait se produire ? Qu’est-ce qu’il pourrait se passer ? On finit par s’arrêter, sans aucune exhaustivité, sur la liste des scénarios. C’est un peu comme pour les JO, je veux pas porter malheur, mais quand on fait la liste de tout ce qui peut merder, par de l’attaque informatique, dans le cadre des JO, c’est assez vertigineux. Évidemment, oui, il y a le chronométrage de l’épreuve du 100 mètres, des sprints, OK, tout le monde y a pensé, les attaquants aussi, mais les défenseurs en premier. Quand on voit toute la complexité du système que représentent les JO, tout ce qui doit bien fonctionner pendant cette période-là, qui est quand même relativement longue, c’est vertigineux !

Historiquement, c’est de l’histoire récente, c’est un travail qui a été fait en France en 2008 dans le cadre d’un bouquin que vous n’avez probablement pas lu, qui s’appelle Livre blanc sur la défense et la sécurité nationale, c’est pareil, c’est à garder pour les moments où vous avez le moral ; c’est un travail stratégique et hyper intéressant, ça fait la liste de toutes les catastrophes qui peuvent nous tomber sur le coin du nez et surtout, évidemment, pour savoir comment on fait pour s’en protéger. C’est un travail qui est très sérieux. Celui de 2008 est intéressant à plein d’égards, d’abord parce que quand on relit avec le recul, on se rend compte que les pandémies et tout ça c’était dedans, donc le Covid n’était pas une aussi grande surprise, qu’on aurait pu l’imaginer, heureusement, il y a des gens qui y avaient pensé ; Il ne suffit pas d’y penser, mais ce sont des choses qui sont quand même anticipées. Et puis surtout, dans ce livre blanc de 2008, ça parle de cyber, pour la première fois et, tout de suite c’est une menace qui monte au top 3 des grandes menaces qui peuvent peser sur un pays comme la France, avec comme crainte, justement, non pas l’espionnage, non pas la criminalité, mais bien le fait que des systèmes puissent être empêchés de fonctionner à cause d’attaques informatiques.
Une fois qu’on a dit ça, on dit « il faut qu’on se protège ». Comme on est en France, on dit « on va faire une loi ». Un problème, une loi ! Je rigole parce que je l’ai portée, et après je l’ai mise en œuvre.

[Applaudissements]

En fait, une loi ça peut être efficace, en tout cas c’est l’approche française que d’ailleurs, en passant, nos homologues nous envient sur les questions cyber. Une loi qui dit, dans des termes un peu compliqués, « les opérateurs d’importance vitale – donc depuis 2014 – doivent se protéger des attaques cyber, à leurs frais », le législateur est prudent !
Après, qu’est-ce que c’est qu’un opérateur d’importance vitale, c’est vraiment un terme très technocratique, eh bien il y a des listes, il y a des domaines, et, là, on fait la liste de ce qui est important pour la nation. La liste est secrète mais les secteurs ne le sont pas. En ce qui concerne l’énergie, par exemple, il ne faut pas qu’on puisse nous couper l’électricité ; si on a une attaque cyber qui coupe l’électricité en France, ou à Paris, c’est un problème pour EDF, c’est un problème pour Enedis, c’est un problème pour les acteurs de l’électricité, c’est surtout un problème pour vous et moi, c’est un problème pour la nation. On a donc dit « vous vous allez vous protéger ». Il y a 12 secteurs, comme ça. Quand on a fait la liste des secteurs, on a parlé avec les grands acteurs et ainsi de suite, au bout d’un moment on s’est dit qu’il fallait prioriser un peu parce qu’il y a probablement des choses plus graves que d’autres, et puis il y en a qui sont plus ou moins réceptifs.
Parmi les grandes idées stratégiques que j’ai eues, il y a les médias, parce que le secteur des médias est un secteur stratégique pour de vraies bonnes raisons. J’ai mis le secteur des médias en dernier dans la liste, parce que vu la qualité des échanges qu’on avait, il y avait d’autres urgences ailleurs. Et ça n’a pas manqué ! Le premier à prendre la foudre a été TV5MONDE, en 2015, donc juste après, et là on est dans une situation très bizarre. 2015, vous souvenez peut-être, ce n’était pas une période rigolote déjà, on était très marqué par les attentats terroristes, en France, et attaque contre TV5MONDE, l’écran noir, la terreur des acteurs des médias audiovisuels, une revendication cyber djihadiste, immédiatement des ministres qui se précipitent au chevet TV5MONDE, « le terrorisme est passé dans le monde cyber » et tout ça. On est au chevet de la victime, comme nous, ce qui était vrai.
Je me souviens que c’était un mardi soir, mercredi les ministres au chevet de TV5MONDE, et puis le vendredi matin je passe à la radio pour expliquer ça et le journaliste me dit « expliquez-nous. Pourquoi les terroristes islamistes s’en prennent-ils à TV 5 Monde ? ». Moi, un peu fatigué, en plus, à ce moment-là, je dis « je ne suis pas persuadé que ce soient des terroristes. On ne sait pas qui sait, on serait peut-être surpris de savoir qui c’est vraiment. » Je rentre à mon bureau, mon assistante me dit : « Bonjour. Ah, au fait, le ministre de l’Intérieur vous a appelé, il faudrait peut-être le rappeler », c’est une bonne journée ! Bon, un échange cordial, « qu’est-ce qui vous permet de remettre en cause ce que j’ai dit ? », les gens rigolent aujourd’hui, c’est évidemment beaucoup moins drôle sur le coup, on commence à faire ses cartons et tout, on ne sait jamais, un week-end ça passe vite !
Blague à part, c’est qu’on est dans un domaine où, en fait, l’attribution que j’ai mentionnée très rapidement tout à l’heure, est un vrai problème, on ne sait pas qui attaque. Ce n’est pas parce qu’il va y avoir une page web ou des conneries mises sur les réseaux sociaux, tout ça, qui font référence à un cyber-califat, machin, truc, objectivement ça peut être n’importe qui. Et puis, avec le temps, tout le travail qui a pu être fait a montré que ça ne venait pas du tout de par là, ça venait plutôt des grands pénibles de l’Est. [Transcription automatique : apparaît derrière l’orateur à l’écran, « grands pénis de l’est NdT]. [Rires du public].
Ce n’est pas moi, j’ai plein de témoins, je prends les noms ! Les grands pénibles de l’Est, parce que, par le biais d’attaques informatiques, on peut, aujourd’hui, mettre une pression de folie sur un État comme la France.
Je ne sais pas ce qui s’est passé à ce moment-là, mais c’était probablement un test, un coup de semonce, je ne sais pas, ou c’est le stagiaire qui s’est emballé, je ne saurai probablement jamais ! Mais simplement le fait de faire de l’attaque informatique, d’aller éteindre pendant quelques heures la diffusion d’une chaîne comme TV5MONDE qui est essentielle quand on est dans un hôtel à l’étranger, et qu’on s’embête, rien que ça on voit le trouble géopolitique que ça peut générer. Et, si vous tirez le fil, ça peut aller extrêmement loin.

Je ne vais pas vous raconter toute ma vie, je vais prendre juste une deuxième date, ça c’était en 2015. En 2017, on a vécu à un beau printemps à l’ANSSI. Ça a commencé par un truc qui s’appelait WannaCry, une espèce de ransomware, ça ressemblait à du crime organisé, hyper virulent, trop, probablement, très mal organisé pour récupérer des rançons et tout ça, ils n’ont rien récupéré du tout, ils ont mis un bazar juste incroyable. En France, on a été relativement épargnés, mais, ailleurs, pas plus loin que chez nos amis britanniques, c’est tout le service de santé, quand même, qui s’est effondré à ce moment-là, donc ça n’a pas fait rire. Ça a donc commencé par WannaCry et puis ça a recommencé un mois plus tard, on était bien chauds déjà, avec un truc qui s’est appelé NotPetya. NotPetya, pareil, ça ressemble à un rançongiciel. Tout de suite les experts m’appellent et me disent « fais gaffe ! Pour un rançongiciel c’est un peu louche, il ne chiffre pas les données, il les efface. » donc, ou bien c’est encore le stagiaire, ou bien c’est autre chose !
En fait, quand on a regardé assez vite ce qu’était NotPetya, où ça se passait. En général, les attaques informatiques ce n’est pas spécialement localisé, c’est un montage du numérique, ça peut être un peu n’importe où. En fait, on s’est rendu compte que NotPetya tapait l’Ukraine, déjà à l’époque, en 2017, et ça visait toute l’économie ukrainienne. Sauf que, évidemment, le numérique ne s’arrête pas aux frontières. À l’époque on a travaillé, je vous dis tout parce qu’il y a prescription, et j’ai demandé à mes équipes « trouvez-nous une victime, trouvez-moi un patient zéro qui coopère avec nous pour qu’on puisse faire des analyses, des prélèvements, des choses comme ça », c’est très médical comme métier. On a super bien travaillé avec Saint-Gobain, je le cite parce que c’est public, qui a été très touché. Saint-Gobain, si vous allez voir, c’est gros, c’est une grosse boîte. En fait, les systèmes d’information se sont retrouvés paralysés par NotPetya et puis assez vite on leur demande : « Manifestement ça tape l’Ukraine, qu’est-ce que vous avez comme activité en Ukraine ? – On n’a pas d’activité en Ukraine. – Quand même, cherchez bien et tout ça. » Jeu de ping-pong, comme ça, pendant quelques heures. Au bout d’un moment, à l’ANSSI, on a suffisamment de problèmes comme ça, lâchez-nous avec l’Ukraine, jusqu’à ce qu’il y en a un qui se rend compte « il y a un peu moins de deux ans, on avait une usine de bouteilles en Ukraine, on l’a vendue, on continue à opérer pendant deux ans. » Vous savez que ça se passe comme ça : les grosses boîtes passent leur temps à se couper les bras et à se vendre les unes les autres et le numérique suit, bon an mal an, et puis, très souvent, on opère les systèmes le temps de faire la transition, de faire l’intégration chez le nouvel acquéreur. Eh bien, Saint-Gobain opérait une usine qui n’était même plus à lui et, par ce biais-là, ça les a touchés avec un impact monstrueux. Cyberattaque massive sur l’Ukraine, ça vient des mêmes, forcément !

On était resté avec cette idée d’un pays faible, face à ces attaques informatiques, mais qui nous a étonnamment surpris lors de l’invasion récente, parce que justement, entre-temps, ils avaient travaillé et ça ne se voit pas non plus. Mais, dans le conflit qui se passe actuellement en Ukraine, depuis le premier jour, ça tabasse au niveau numérique, sauf qu’eux ont su se protéger. Il y a encore un peu prescription, je ne rentre pas dans les détails, mais sachez que les conflits modernes, tous les conflits modernes, qu’ils soient déclarés ou pas – l’avantage c’est que ça peut se faire avant les déclarations –, sont accompagnés d’attaques cyber.
Je crois pas je crois pas au grand soir des grandes attaques qui vont tout casser, j’espère ne pas me tromper, mais sachez qu’aujourd’hui tout ça c’est une pression permanente et, à chaque fois qu’il y a une tension géopolitique entre deux pays ou entre deux blocs, c’est accompagné de telles attaques. Il y a de l’espionnage mais ce n’est pas le but, ce n’est pas de la criminalité même si les criminels peuvent être des sortes de réserves opérationnelles, certains ne s’en privent pas, c’est devenu vraiment une nouvelle activité de guerre, véritablement, entre les grands États et les petits, parce que c’est une arme asymétrique.
Et dans ce combat-là, ce qui est très déroutant, et j’arrêterai là-dessus, c’est que, évidemment, il y a des gens dont c’est le métier, qui ne font que ça, qui travaillent pour l’État, certains défendent, d’autres attaquent, d’ailleurs j’en ai aperçu, il y en a qui ont un stand là-bas, et heureusement, et c’est génial ! Ce n’est pas en devenant le meilleur des encaisseurs, les deux mains dans les poches, qu’on peut se protéger face à ce genre de menace. En fait, c’est là où c’est un domaine qui est très dérangeant : bien sûr, il y a des gens dont c’est le métier qui sont là pour nous protéger, mais, en fait, vous avez tous un rôle et c’est cela que je voulais venir vous dire : quand vous développez, quand vous développez des systèmes, quand vous oubliez de faire de la sécurité, quand vous le faites mal, eh bien, quelque part, vous compliquez tout ça. À l’inverse, quand vous prenez en compte ces questions de sécurité, qui sont parfois un peu pénibles et tout ça, mais, en même temps, qui peuvent être passionnantes, là, vous créez une première ligne de défense qui est de loin la plus robuste et la plus importante.
Je vous laisse avec ça et je compte sur vous.
Merci beaucoup

Récupérée de « http://wiki.april.org/index.php?title=Cybersécurité_et_cyberdéfense_:_un_sujet_géopolitique_-_Guillaume_Poupard&oldid=110036 »