« La France est une des premières cibles des cybercriminels au niveau mondial » Yasmine Douadi

Grand entretien avec Yasmine Douadi, spécialiste en cybersécurité, fondatrice de Riskintel Media et du Risk Summit.

Loup Viallet, directeur de Contre-Poison – La première épreuve des Jeux Olympiques sera la cybersécurité. Récemment, le directeur général de l’ANSSI a qualifié ce grand événement de « test comme nous n’en avons jamais connu dans notre cybersécurité collective ». Comment la France se prépare-t-elle ? Quel serait le scénario catastrophe ?

Nous avons eu la chance d’organiser une émission RISKINTEL MEDIA avec le responsable de la cybersécurité des Jeux Olympiques et Paralympiques. Evidemment, il s’est voulu rassurant malgré l’inquiétude de la communauté de la cybersécurité.

Il faut reconnaitre que l’expertise cyber française, les leçons tirés de la coupe du monde de rugby et le dynamisme de l’écosystème sont des éléments encourageants.

Le risque principal des JOP reste physique et est lié à la menace d’attentats. En termes de cybersécurité, tous les experts savent qu’il y aura des incidents car tous les acteurs de la menace convergeront : ceux qui veulent obtenir un gain financier rapide, ceux qui veulent promouvoir leur idéologie en profitant de l’exposition médiatique, ceux qui veulent déstabiliser la France et l’Occident.

Le scénario du pire serait une cyberattaque d’ampleur sur une infrastructure critique, par exemple les transports, couplée à un ou plusieurs attentats.

Cela étant, je fais confiance aux professionnels qui préparent l’évènement depuis longtemps déjà, plus qu’au personnel politique avant tout préoccupé par la conservation de ses mandats.

Comment est né le concept de cybersécurité ?

Il est né de la pratique, comme c’est souvent le cas en informatique. C’est en bricolant que l’on fait des découvertes et que l’on tombe sur d’éventuels problèmes. Le concept en lui-même de cybersécurité a évolué parallèlement à l’essor de la technologie et d’internet.

Dans les années 1960, la sécurité informatique se concentrait sur l’accès physique aux machines. L’avènement d’ARPANET dans les années 1970 a introduit les premières formes de communication réseau, nécessitant de nouvelles mesures de sécurité.

Les années 1980 ont vu l’apparition des premiers virus informatiques, comme le ver Morris, et la naissance des logiciels antivirus.

Dans les années 1990, avec la généralisation d’internet, les menaces ont augmenté, poussant les entreprises à investir massivement dans des solutions de cybersécurité.

Les années 2000 ont marqué un tournant avec l’augmentation des cyberattaques sophistiquées, telles que les ransomwares et les vol de données, obligeant les entreprises et les gouvernements à développer des mesures de sécurité plus robustes. Aujourd’hui, la cybersécurité englobe une vaste gamme de pratiques et de technologies visant à protéger les systèmes informatiques contre les menaces croissantes et complexes.

Au fond, de la même manière que les attaques de diligences correspondaient à une certaine époque, il en va de même pour la cybercriminalité qui se concentre sur les nouvelles routes qu’emprunte la valeur.

La donnée étant le nouvel or noir, les voleurs de diligences opèrent désormais dans le cyberespace.

Au mois de mars, France Travail (ex Pôle Emploi) a annoncé être victime d’une cyberattaque massive : les données de 43 millions de personnes ont « potentiellement été exfiltrées ». Comment une telle attaque a-t-elle pu avoir lieu ? France Travail a-t-il eu raison de communiquer sur cet épisode ? Ce type d’attaque est-il fréquent ou relève-t-il de l’exception ? L’Etat français investit-il suffisamment et investit-il intelligemment pour parer ces attaques ?

Tout d’abord, France Travail était dans l’obligation légale de communiquer sur cet évènement gravissime en application du RGPD (Règlement européen sur la protection des données).

Peut-on considérer que cette communication était suffisante ou que son écho dans la presse a servi à quoi que ce soit ? Je pense que non et ce pour une raison simple. Une cyberattaque d’une telle ampleur par son impact mérite de la pédagogie et pas une simple fenêtre pop-up lorsqu’on se connecte à France Travail.

D’autant plus que la plupart des Français concernés par cette fuite massive de données ne se connecte pas à France Travail… Il n’y a en effet pas (encore) 43 millions de chômeurs en France.

N’étant pas soumise à la concurrence, France Travail a fait le minimum syndical en termes de communication en espérant que la tempête passe et que les Français passent à autre chose ou n’y comprennent pas grand-chose.

Une entreprise du secteur privé qui aurait fait face à un tel scandale aurait dû réagir tout autrement, faire amende honorable auprès de ses clients et partenaires, voire mettre la clef sous la porte.

Cet exemple fait écho aux nombreuses attaques d’hôpitaux qui sont des proies faciles à cause d’un sous-investissement chronique de l’Etat et de la haute rentabilité des données de santé sur le darknet.

Les collectivités territoriales sont également sous-équipées en tout, et en particulier en cybersécurité.

Fondé en 2020, votre média contribue à mettre au jour une filière et des professions méconnues mais de plus en plus incontournables dans les administrations et les entreprises. Comment a évolué le paysage cyber français depuis la création de RISKINTEL MEDIA ? Que représente-t-il désormais en termes d’emplois, de part dans le PIB, de spécialisation ?

RISKINTEL MEDIA est le média leader en cybersécurité en termes d’audience avec un slogan très simple : du geek au grand public, les risques numériques accessibles à tous. Car la cybersécurité nous concerne tous. Or l’un des défis les plus difficiles des experts cyber est de le faire comprendre aux citoyens et aux salariés. C’est là qu’interviennent nos contenus qui visent à élargir la base des professionnels sensibilisés à la cybersécurité. Notre audience globale est de 10 millions de vues par an. Or, il est impossible que cette audience se limite aux experts technico-techniques de la cybersécurité.

Et c’est bien naturel, car la cybersécurité est une filière économique comme une autre avec ses experts, ses commerciaux, ses éditeurs de logiciels, ses prestataires de services, ses RH, ses communicants, ses fonctionnaires, ses hackers éthiques, ses développeurs, ses pentesters etc.

Dans ce cadre, le plan national du gouvernement pour la cybersécurité prévoit de multiplier par trois le chiffre d’affaires de la filière à l’horizon 2025 en passant de 7,3 milliards à 25 milliards d’euros. L’objectif est en outre de doubler le nombre d’emploi de 37 000 à 75 000.

Au regard du PIB Français, la filière pèse peu. Son importance stratégique est, en revanche, inversement plus importante.

En effet, le coût annuel de la cybercriminalité en France est aujourd’hui évalué à plus de 100 milliards d’euros. En outre, d’après l’édition 2024 du baromètre du CESIN, près d’une entreprise française sur deux a été victime d’une cyberattaque.

Or seul un écosystème cyber suffisamment dynamique pourra permettre de diminuer les cyberattaques et leur coût.

Quel constat faites-vous de la prise de conscience des risques cyber en dehors des métiers liés à la cybersécurité ?

Cette prise de conscience est trop faible selon moi car le terme « cybersécurité » renvoie dans l’imaginaire collectif aux hackers et à un domaine hautement technique, voire cryptique.

C’est une situation paradoxale car la sécurité est l’enjeu prioritaire des Français pour chaque élection. Or il s’agit aussi d’un domaine éminemment technique, tant d’un point de vue du maintien de l’ordre que de la chaîne pénale. Nombre d’experts dissertent à longueur de journée sur cette préoccupation des Français, sans que ces derniers ne comprennent dans la granularité l’ensemble des implications techniques.

La cybersécurité n’est que la sécurité de vos actifs numériques, qui peut avoir un impact bien concret sur votre vie matérielle. Une cyberattaque peut par exemple mettre en faillite votre entreprise et vous priver de votre emploi. Car c’est environ la moitié des TPE/PME qui mettent la clef sous la porte dans les 6 mois après une cyberattaque réussie.

Quels sont les risques cyber à même de mettre en péril le fonctionnement régulier de nos institutions ? de notre économie ?

La menace cyber comprend à la fois une criminalité classique aux intentions crapuleuses et des menaces plus complexes de groupes cybercriminels extrêmement bien organisés et parfois soutenus par des Etats.

Parmi les attaques les plus critiques, on retrouve :

1. Les ransomwares : Ces attaques peuvent paralyser les systèmes informatiques des entreprises et des institutions publiques, entraînant des pertes financières considérables avec l’arrêt de l’activité et le versement de rançons qui ne garantissent en rien la restauration des systèmes. En 2021, 37% des organisations dans le monde ont subi une attaque par ransomware. Les hôpitaux Français en ont souvent fait les frais. Par exemple, en février dernier, le centre hospitalier d’Armentières a été victime d’une attaque par ransomware, qui a conduit à fermer temporairement les urgences.
2. Le phishing et l’ingénierie Sociale : Ces techniques exploitent la crédulité humaine pour amener un utilisateur à cliquer sur un lien malveillant. En 2022, 83% des violations de données étaient dues à des attaques de phishing.
3. Les attaques DDoS : Les attaques par déni de service peuvent rendre les sites web et les services en ligne indisponibles. Les sites de plusieurs ministères en ont fait les frais en mars dernier.
4. L’espionnage et le sabotage : Les acteurs étatiques et les cybercriminels ciblent les entreprises stratégiques et infrastructures critiques, telles que les réseaux électriques et les systèmes de transport, pour espionner ou saboter. En 2022 et 2023, l’espionnage informatique est la menace qui a le plus impliqué les équipes de l’ANSSI. En Ukraine, les manœuvres de l’armée russe étaient systématiquement précédés d’attaques informatiques d’ampleur sur les infrastructures ukrainiennes.
5. Brèches de Données : Les violations de données peuvent exposer des informations sensibles, entraînant des pertes financières et de réputation.

Quels sont les pays les plus avancés dans l’appréhension des risques cyber ? Comment la France se situe par rapport à ces leaders (ou en fait-elle partie) ?

Il faut prendre du recul pour tenter de répondre à cette question. Tout d’abord, car le risque cyber n’est pas à décorréler des autres risques sécuritaires auxquels doit faire face un pays développé.

En effet, toutes les manœuvres de guerre hybride empruntent aujourd’hui la voie du cyberespace. L’éventail des menaces est particulièrement large : attentat cyber sous faux drapeau, espionnage industriel, guerre informationnelle, guerre économique… Toutes les actions qui consistent à nuire sans utiliser d’armement conventionnel ont trouvé dans le cyberespace un champ d’action idéal.

L’OTAN considère dans ce cadre qu’une attaque cyber critique menée par un Etat contre un autre équivaudrait à un acte de guerre conventionnel. Pourtant, aucune cyberattaque n’a jamais causé de réponse armée dans le cadre de l’alliance atlantique ou ailleurs.

Ce cadre étant posé, la question à se poser est : qui sont les leaders mondiaux en termes militaires, économiques et de soft power ? En répondant à cette question, on répond à la question du « classement » des pays les plus avancées dans l’appréhension des risques cyber.

Naturellement, la France se situe dans le haut du panier. Mais en tant que pays développé dont les entreprises sont solvables, elle est aussi l’une des premières cibles des cybercriminels au niveau mondial. D’autre part, ses alliances géopolitiques en font une cible de choix pour tous les acteurs qui contestent le magister occidental sur le monde.

Par ailleurs et de façon assez prévisible, les Américains dominent le cyberespace. Tout d’abord car ils l’administrent par le contrôle des flux de l’information et ensuite car la compétitivité de leurs entreprises et les capitaux sans limite auxquels elles ont accès leur permettent de créer des géants technologiques dans le domaine cyber.

Dans ce secteur comme dans tant d’autres, les entreprises françaises peinent face à la concurrence des entreprises américaines qui ne jouent souvent pas dans la même cour, notamment parmi les éditeurs de solutions logiciels en cybersécurité.

Or le niveau de cybersécurité d’une nation est lié à deux facteurs fondamentaux : l’investissement de l’Etat dans la cyberdéfense et l’existence d’un écosystème privé d’acteurs de la cybersécurité en charge de protéger les organisations.

En ce sens, le gouvernement français a mobilisé 1 milliard d’euros d’ici à 2030, dont 720 millions de financements publics, dans le cadre de la stratégie nationale pour la cybersécurité qui vise à faire émerger des champions français de la cybersécurité.

C’est une ambition louable, mais en comparaison, le budget fédéral américain pour la cybersécurité pour la seule année 2025 est de 13 milliards de dollars. La comparaison par rapport à l’échelon européen serait pertinente si l’écosystème cyber n’était pas aussi fragmenté entre pays européens.

Les plans français et américains ne visent certes pas à financer les mêmes défenses. Cela étant, les écarts donnent le vertige…

Pour autant, une vision strictement nationale serait trop étriquée pour appréhender l’enjeu cyber. En effet, de la même manière que nous sommes heureux de bénéficier des technologies américaines en informatiques (Windows, Mac, IPhone, IA, Cloud…), il en est de même en cybersécurité où les solutions américaines nous aident à sécuriser nos organisations aux côtés des solutions françaises et Européennes.

La coopération avec les acteurs américains dans le cadre d’une saine concurrence est donc essentielle.

Comment réagir face à une cyberattaque ? Les attitudes à adopter doivent-elles être différentes selon le profil de la cible (grande entreprise, PME, TPE, collectivité locale, service d’un ministère.. journal en ligne) ?

La première mesure est l’anticipation car toute entreprise devrait statistiquement subir une cyberattaque dans son cycle de vie.

L’ANSSI a publié un guide très pratique pour « La cybersécurité pour les PME en treize questions ». Il est téléchargeable gratuitement et constitue une bonne entrée en matière.

Le premier réflexe à avoir en cas d’incident concernant un système d’information est de déconnecter son équipement ou son SI d’entreprise d’Internet. Par ailleurs, le gouvernement a mis en place la plateforme Cybermalveillance.gouv.fr. Après avoir réalisé un diagnostic en ligne, les victimes accèdent à des conseils personnalisés leur permettant de résoudre leur problème.

Les bonnes pratiques conseillées en cybersécurité sont les mêmes pour tous les types d’organisations. Le différentiel observé apparait au niveau des moyens alloués pour lutter contre ce risque.

Dans ce cadre, les collectivités territoriales et les TPE/PME sont aujourd’hui et sans surprise les acteurs les plus fragiles en France par manque de moyens.

En 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive « Network and Information Security » (NIS I)  pour protéger la cybersécurité du marché européen. Face à l’augmentation des menaces cyber, la directive NIS I a été révisée et remplacée par la directive NIS II en 2022. La France et les 26 autres Etats membres de l’UE devront avoir transposé ses nouvelles dispositions dans leurs droits nationaux d’ici octobre prochain. Quel impact aura NIS II sur les administrations et les entreprises de notre pays ? Comment ce « bouclier cyber » européen va-t-il fonctionner ?

NIS 2 doit augmenter le niveau de base en cybersécurité pour certains secteurs critiques. En effet, la directive 2 élargit considérablement le champ d’application de NIS 1 en incluant près de 600 types d’entités différentes dans 18 secteurs d’activité. Contrairement à la directive NIS originale qui se concentrait sur les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN), NIS 2 classe les entités en deux catégories : les entités essentielles et les entités importantes​. Elles sont soumises à des obligations de mise en conformité différentes.

Le texte prévoit des sanctions financières en cas de non-conformité et les dirigeants pourront être tenus responsables et faire face à des sanctions pénales, ce qui est une nouveauté.

La directive s’applique à un large éventail d’entités, incluant des secteurs critiques comme l’énergie, les transports, la banque, les infrastructures de marchés financiers, la santé, l’eau potable, et les infrastructures numériques.

Les acteurs déjà régulés par NIS 1 sont globalement prêts dans le cadre de leur mise en conformité. En revanche, il existe de plus petits acteurs qui ne disposent pas nécessairement des budgets cyber permettant une mise en conformité parfaite.

En 2023, l’Europe a été le continent le plus ciblé par les cyberattaques en concentrant 32% des attaques mondiales selon l’Indice IBM X-Force Threat Intelligence 2024. « Nous ne pouvons plus dépendre de tiers pour assurer notre sécurité » déclarait Thierry Breton (le commissaire européen chargé, notamment, du numérique) dans son discours d’introduction du forum InCyber de Lille en mars dernier. Prenons-nous réellement le chemin d’une autonomie stratégique dans le domaine de la cybersécurité ou les paroles du commissaire Breton sont-elles à prendre comme des propos d’estrade ?

L’ambition du Thierry Breton est louable. En revanche, le débat sur l’autonomie stratégique en cybersécurité et dans le numérique est complexe.

Pouvons-nous nous passer de Windows, d’Intel ou encore d’Apple et plus globalement des services des GAFAM ? En cybersécurité, le constat est le même. Du côté des logiciels, des éditeurs français et européens se mesurent par exemple à des géants américains.

Sur le terrain, des solutions cyber américaines très utiles cohabitent avec des solutions européennes et contribuent à élever notre niveau de maturité en cybersécurité.

J’aborderai donc la question sous l’angle de la compétitivité plutôt que de l’autonomie stratégique. Sans compétitivité, nos acteurs ne seront jamais autonomes. Pour exemple, la domination des GAFAM résulte en grande partie de la qualité du service fourni. Personne ne force les consommateurs à utiliser leurs services.

A défaut de mesures protectionnistes sur les modèles russes et chinois, ce n’est qu’en promouvant un écosystème attractif pour les entreprises en cyber que l’Europe pourra prétendre à une autonomie stratégique dans ce domaine.

Et à mon sens les deux défis prioritaires sont d’une part celui du financement, avec des capitaux européens moins importants qu’aux Etats-Unis et d’autre part, celui d’une meilleure intégration du marché européen pour permettre aux entreprises une mise à l’échelle rapide sur le continent afin d’atteindre une taille critique.

Vous souhaitez réagir à cet entretien ? Apporter une précision, un témoignage ? Ecrivez-nous sur redaction@contre-poison.fr