Face à la « croissance exponentielle » des cybermenaces, l’avenir de l’Anssi passe par un nouveau maillage cyber national

« L’équipe de France de la cybersécurité est essentielle ». A quelques heures du championnat d’Europe de football, le clin d’œil de Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), pourrait faire sourire. Pourtant, ces mots viennent appuyer un sombre constat dressé lors de la conférence de presse de l’Agence ce jeudi 10 juin : « Jusqu’à récemment, on pensait que les hôpitaux ne seraient pas attaqués, […] comme on pensait que les médias ne seraient pas des cibles avant le piratage de TV5Monde en 2015. Chaque secteur est attaqué et doit se prendre en main. »

Par « jusqu’à récemment », Guillaume Poupard entend « jusqu’à l’année 2020 ». Dans son rapport des tendances en cyber-menaces en 2020, le sous-directeur de l’Anssi chargé des opérations, Mathieu Feuillet, a cité la santé parmi les deux secteurs les plus touchés par la menace numéro un, les rançongiciels (ransomwares), avec les collectivités territoriales. Une tendance qui se poursuit en ce début 2021 car l’Anssi a enregistré « un incident significatif dans un établissement de santé par semaine lors du premier trimestre ».

Rançongiciels : de 54 signalements en 2019 à 192 en 2020

Ce constat inquiétant a récemment poussé l’Anssi à hisser au rang d’opérateurs de services essentiels (OSE) une centaine de nouveaux établissements de santé régionaux, en plus des « vingt à trente hôpitaux » qui comptait déjà parmi les OSE depuis la directive européenne NIS et la « grosse dizaine de grands CHU » considérés par l’Anssi comme opérateurs d’importance vitale (OIV) depuis encore plus longtemps, à indiqué Guillaume Poupard.

???? Revenez avec nous sur les temps forts et les actions les plus marquantes menées par l’#ANSSI, sur l’année écoulée, avec le rapport d’activité 2020. #cybersécurité #SSI #numérique ?? https://t.co/HDXx1SXjvB pic.twitter.com/JYnDgiO4Rn

— ANSSI (@ANSSI_FR) June 10, 2021

Plus globalement, l’Anssi a certes compté une stabilisation des signalements, qui passe de 2 296 en 2019 à 2 287 en 2020, mais ceux-ci ont mené à deux fois plus d’incidents véritables, 759 en 2020 – dont sept considérés comme « majeurs » – contre 370 en 2019.

Côté rançongiciels, la progression a été encore plus vertigineuse : de 54 incidents comptabilisés en 2019 à 192 en 2020. « Cette tendance s’est poursuivie au début de l’année 2021 mais on a pu remarquer une stabilisation, voire une baisse des signalements de rançongiciels », avance Mathieu Feuillet, sans aller plus loin par manque de données tangibles à ce stade.

« On se rend compte que les groupes qui rançonnent ne sont pas forcément très nombreux, de l’ordre de cinq ou six grands groupes de quelques dizaines de personnes seulement, mais ils se professionnalisent, avec une spécialisation dans la création d’outillagse, dans l’entrée dans les systèmes d’information ou dans le rançonnage proprement dit, détaille le sous-directeur de l’Anssi. Nous sommes face à une criminalité organisée. » Ce dernier mentionne aussi la généralisation du ransomware-as-a-service, dont certains groupes cyber-malveillants comme Sodinokibi ou Ryuk sont devenus spécialistes.

Attaques par chaîne d'approvisionnement

Au-delà des rançongiciels, Mathieu Feuillet note que le cyber-espionnage à des fins politiques et économiques est toujours fortement pratiqué, notamment par des groupes plutôt affiliés à des Etats (que l’on appelle communément Advanced Persistent Threat, ou APT). Il confirme également que la plupart des cyber-attaques sont désormais des attaques par chaîne d’approvisionnement (supply chain attacks), « qui visent, non plus à attaquer la cible finale de l'attaquant mais à passer par un sous-traitant, un fournisseur ou un éditeur », rappelle Mathieu Feuillet, qui se félicite que « s’ils en viennent à cela, c’est que certains grands groupes ont pris la mesure des menaces ».

De nombreux progrès restent à faire, insiste, en substance, Guillaume Poupard : « Si on veut faire face à ces menaces en croissance exponentielle, si on veut que la France fasse partie des grandes nations capables d'assurer leur sécurité dans le cyberespace, on se doit d'impliquer tous ceux qui peuvent contribuer. » C’est pourquoi l’Anssi a profité de cette présentation de son rapport d’activités 2020 pour introduire « le début d’une nouvelle étape [dans l’histoire de l’agence, ndlr], d’une nouvelle façon de travailler, avec l’idée de créer un maillage » au quatre coin de la France

136 millions d’euros pour le volet cybersécurité de France Relance

Le premier pilier de cette nouvelle stratégie ancrée dans les territoires français prend son origine directement dans la crise du covid-19, puisque l’Anssi est chargée du pilotage du volet cybersécurité du plan France Relance. Doté d’un fonds de 136 millions d’euros, celui-ci vise à renforcer le niveau de cybersécurité des administrations, des collectivités territoriales, des établissements de santé. La répartition de cette enveloppe est la suivante :

• 66 millions d’euros consacrés à la sécurisation des collectivités territoriales

• 45 millions d’euros dédiés aux administrations

• 25 millions d’euros pour les établissements de santé

Ce volet comprend trois axes principaux. Le premier concerne les organisations françaises, publiques ou privées, les moins avancées en termes de cybersécurité. Il consiste à déployer des « parcours de cybersécurité », soit un audit, confié à des prestataires de services, pour comprendre les cyber-menaces auxquelles ces organisations sont exposées et leurs besoins en termes de sécurisation de leurs systèmes d’information.

« A ce jour, 230 organismes en bénéficient déjà », ajoute Gwenaëlle Martinet, cheffe de projet France Relance à l’Anssi. Un point particulièrement intéressant dans ce processus d’audit est la constitution, par le prestataire, d’un « cyberscore », de A+ à D-, « basé sur un questionnaire et sur un audit technique des réseaux », complète-t-elle. Le prestataire indiquera à l’organisation son cyberscore initial et celui qu’elle doit atteindre. Une expérience qui pourrait faire tâche d’huile à l’avenir, si l’on en croit les mots de Guillaume Poupard, qui estime qu’« il faudra un jour être capable de noter toutes les organisations selon leur cyber-maturité ».

Le centre de formation de l’Anssi installé au Campus Cyber dès la fin 2021

Destiné aux organismes plus avancés dans la sécurité de leurs réseaux, le deuxième axe s’organise autour d’appels à projets ponctuels. Un premier tour a été lancé au tout début 2021 mais ne concernait que les services de l’État. Un second tour est attendu pour les mois prochains, ouvert aux collectivités territoriales.

Le troisième axe du volet cybersécurité du plan France Relance ambitionne de créer des centres de réponse à incidents (CERT) dans chaque région de France métropolitaine et d’outre-mer. L’Anssi est actuellement en discussions avec chacune d’entre elles.

Le second pilier de la stratégie de l’Anssi marque peut-être encore mieux « la volonté d’ouvrir d’avantage l’Agence aux écosystèmes de la cyber », selon les termes d’Emmanuel Naëgelen, directeur général adjoint de l’Agence : il s’agit de son implantation au sein du Campus Cyber, à La Défense, et à Rennes.

A La Défense, tout d’abord, l’Anssi compte occuper un des treize étages de la tour Eria dès son ouverture, fin 2021, « pour y installer son centre de formation, y mener des activités de recherche et d’innovation, notamment en dans le prototypage, y créer des guichets de services pour conseiller ou accompagner ceux qui développent des solutions de cybersécurité ou même ceux qui sont en demande de ces solutions », détaille Emmanuel Naëgelen. Ce sera aussi depuis le Campus Cyber que l’Anssi pilotera l’ensemble des CERT régionaux.

Installation d’une annexe de l’Anssi à Rennes

A Rennes, terre de cybersécurité s’il en est puisque s’y trouvent une partie des activités du Commandement de la cyberdéfense (ComCyber), qui dépend du ministère des Armées, le Pôle d’excellence cyber (PEC) ainsi que de nombreuses entreprises et start-up en cybersécurité, l’Anssi installera « 200 agents dans le bâtiment Artefact, dans le sud-ouest de Rennes, d’ici la fin 2022 voir le début 2023 » avec « une vocation plus opérationnelle », précise Emmanuel Naëgelen.

« Nous souhaitons y améliorer notre connaissance de la menace, travailler sur les outils de traitement massif des données d’intérêt cyber [entendre ici que l’agence va collaborer avec d’autres institutions pour partager du renseignement sur les menaces, que l’on appelle aussi threat intelligence, ndlr] et mener des projets pour renforcer nos capacités techniques de détection. » L’Anssi travaillera également avec les annexes régionales de ce Campus Cyber, dont la création est prévue dans une deuxième phase du projet.

En attendant, Guillaume Poupard, lui, se prépare à la future présidence française de l'Union européenne, au premier semestre 2022, pour accélérer sur certains dossiers, comme la révision de la directive NIS, notamment pour « étendre le champ et toucher ceux qui ne sont pas aujourd’hui au niveau en termes de sécurité ». « Il faut qu'on impose nos règles de sécurité et de souveraineté dans des questions aussi complexes que la 5G ou le cloud » tout en étant « capables de travailler avec des partenaires, qui peuvent apporter de la technologie », conclut le directeur général de l’Anssi. Un soutien non dissimulé à l’initiative européenne Gaia-X .

Sélectionné pour vous

La deeptech Neurobus veut propulser l’électronique bio-inspirée dans l’espace

Les recettes du memristor : comment coder l'information dans la résistance

Software defined vehicle : comment Sonatus veut faciliter les mises à jour