L’année 2017 a été marquée par de nombreuses attaques informatiques, inédites par leur ampleur et leur niveau de sophistication avec de nouveaux modes opératoires et des cibles multiples, politique, économique et stratégique.

C’est ce qu’indique l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans le rapport qu’elle vient de publier (pour télécharger le rapport, cliquer ici). Ces attaques mettent en œuvre de nouvelles méthodes d’action, mais surtout de nouvelles finalités : la déstabilisation des processus démocratiques et de l’ordre économique. Mais cette évolution ne doit se comprendre que comme les deux faces d’une même médaille : « le développement du numérique s’accompagne désormais du développement concomitant de la menace numérique », commente Guillaume Poupard, directeur général de l’ANSSI.

2017 a mis en évidence trois phénomènes majeurs selon l’ANSSI : la prolifération d’outils d’attaques sophistiqués, la résurgence d’attaques aux effets destructeurs et l’espionnage par compromission d’éditeurs ou de prestataires informatiques.

Concernant les attaques, la très large disponibilité d’outils sophistiqués, presque sur étagère, facilite leur prolifération, allant parfois jusqu’à la conduite de véritables campagnes d’attaques dont les conséquences peuvent se révéler désastreuses, explique l’ANSSI. En effet, ces outils peuvent par nature être copiés à l’infini et se diffuser très rapidement. Ceux divulgués sur Internet sont ainsi récupérés par d’autres groupes malintentionnés pour venir grossir les rangs de leur propre arsenal informatique. Une multiplicité d’outils, de modes opératoires et d’acteurs qui rend plus difficile voire impossible l’identification de l’origine de l’attaque.

L’ANSSI constate une recrudescence d’attaques aux effets destructeurs réalisées à des fins lucratives ou de sabotage. Parmi elles, l’agence observe depuis 2014 une hausse constante des attaques par rançongiciel, de virulence variable. Ce type de code malveillant séquestre les données des équipements informatiques infectés jusqu’à ce que la victime paie la rançon, généralement avec une cryptomonnaie telle que le Bitcoin.

À l’échelle mondiale, l’ANSSI constate une multiplication des opérations d’espionnage informatique. Ces opérations, menées par des groupes organisés, consistent à capter des informations confidentielles sur un savoir-faire, des individus, des concurrents, un secteur d’activité donné ou encore des organisations, gouvernementales ou non. L’objectif de ces actions offensives est d’obtenir à l’insu de la cible un avantage stratégique par le recours à des outils et modes opératoires adaptés au niveau de sécurité du système d’information ciblé. En 2017, ces opérations se sont particulièrement illustrées par leur caractère indirect avec des attaques visant notamment la chaîne d’approvisionnement de l’entreprise ciblée.

Pour l’ANSSI, la France doit poursuivre sa montée en puissance pour faire face à une menace constante et évolutive. Il s’agit, en 2018, de disposer collectivement des moyens et des ressources pour répondre efficacement et rapidement à une menace en forte progression.

Quels enjeux pour l’année en cours ?

Les grands enjeux qui rythment cette nouvelle année sont d’abord européens. C’est le thème qu’avait développé à l’occasion de la 10e édition du FIC tenu en janvier dernier (FIC : la cybersécurité à l’heure européenne). Le travail de l’ANSSI s’inscrit dans une logique européenne et internationale, pas à pas. L’ANSSI a engagé un patient travail de coopération avec la Commission européenne et les États membres de l’Union européenne afin de constituer un ensemble cohérent face à la menace.

L’autonomie stratégique de l’Union européenne a été identifiée par les autorités françaises parmi les cinq priorités de la Stratégie nationale pour la sécurité du numérique de 2015. Pour l’ANSSI, la sécurité du numérique de l’Union européenne repose sur sa capacité à garantir son autonomie stratégique en la matière, autour de trois piliers : capacitaire, réglementaire et technologique.

Selon l’approche française, le marché seul ne peut pas tout faire. L’ANSSI défend l’idée que l’Union européenne doit préserver sa capacité à protéger les citoyens, les entreprises et les Etats membres en matière de sécurité du numérique. Cette protection peut prendre une forme réglementaire, adaptée aux exigences du marché et aux valeurs communes des pays européens. C’est dans ce cadre que les 28 Etats membres doivent transposer dans leur droit national la directive NIS.

L’ANSSI, avec l’appui des acteurs publics et privés, défend la mise en oeuvre d’une politique industrielle européenne ambitieuse ainsi que le développement d’une R&D de pointe. Ces deux axes sont indispensables au déploiement de technologies et de services numériques de confiance.

La transposition de la directive Network and Information Security (NIS)

Ces enjeux incluent la construction de l’autonomie stratégique européenne pour la sécurité du numérique et la transposition de la directive Network and Information Security (NIS).

La directive NIS vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la nation afin de faire face collectivement aux risques de cyberattaques.

Les enjeux sont également nationaux, avec le renforcement des capacités de détection des attaques, pour élever le niveau de cybersécurité en France. En tant que chef de file nationale, l’ANSSI pilote depuis plus d’un an les travaux de transposition, en concertation avec les ministères, les différentes parties-prenantes nationales et ses partenaires européens afin de répondre aux enjeux défendus par ce premier texte européen en matière de cybersécurité.

La loi de transposition de la directive NIS du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité a été publiée au journal officiel le 27 février 2018. La prochaine étape est la publication du décret précisant les mises en œuvre technique et organisationnelle, notamment avec les ministères et fixant la liste des services essentiels. Le projet de décret est actuellement au Conseil d’Etat.