Unis contre l'adversité. Et il en faut des forces au niveau européen autant que national pour lutter contre les cybercriminels de tous horizons. Interrogé ce jeudi matin par la commission des Affaires européennes, le directeur général de l'Enisa, Juhan Lepassaar a donné des chiffres vertigineux. En 2020, le coût des cybercrimes s'est élevé à 5,5 milliards d'euros, un chiffre multiplié par deux par rapport à l'année précédente. En tout, 989 rapports d'incidents de cybersécurité ont été traités concernant notamment le secteur des télécoms mais aussi d'autres secteurs critiques. Evoquant aussi bien la multiplicité que la sophistication des cyberattaques, le dirigeant a indiqué que son agence avait enregistré 250 problèmes de cybersécurité ayant concerné des organismes de secteurs essentiels dont 5 en France.

Dans le cadre de ces cyberattaques, les ransomwares constituent l'une des menaces les plus sérieuses, avec des impacts en termes de coûts pour leurs victimes loin d'être négligeables, a expliqué le directeur de l'agence européenne en cybersécurité. « 43% de problèmes de ce genre ont coûté plus d'un million d'euros et 15% 500 000 euros », a expliqué Juhan Lepassaar. Pour l'Enisa, l'un des moyens les plus efficaces de contrer l'effusion de cyberattaques passe par l'amélioration du cadre général de protection des citoyens et des clients. Il s'agit d'augmenter la sécurité des services dont les « pratiques molles » en matière de cybersécurité sont pointées du doigt. « Il y a besoin de plus de coordination, d'étendre l'analyse de risque et de regarder les menaces sur les chaines d'approvisionnement », a martelé le dirigeant.

Vers une réponse européenne commune et coordonnée en cas de cyberattaque d'envergure

Le constat est également partagé par Guillaume Poupard, directeur général de l'Anssi, lui aussi interrogé par la commission sénatoriale ce matin. « Face à des menaces de plus en plus fortes, on ne sera jamais assez ambitieux », a lancé le directeur de l'agence nationale pour la sécurité des systèmes d'information. Dans son intervention, il est revenu sur les principales actions défensives de l'agence depuis 2009 en matière de protection mais aussi de responsabilisation des organisations lorsqu'elles sont confrontées à des cyberattaques. Les efforts à fournir concernent aussi bien les opérateurs d'importance vitale que ceux de services essentiels, et ils sont menés de front. « On a désigné 103 hôpitaux au sens de la directive NIS (network and information security) transcrite en 2018 en France qui viennent s'ajouter aux 13 CHU d'importance vitale », a précisé Guillaume Poupard.

En tant qu'agence européenne de lutte contre la cybersécurité, l'Enisa travaille main dans la main avec les agences étatiques des Etats membres de l'union, dont en France l'ANSSI bien entendu. Un travail de coopération qui ne doit pas effacer les enjeux de souveraineté nationale pour permettre à chaque Etat de gérer ses propres problématiques cyber. Au niveau opérationnel, le CERT-FR (centre de détection et de réponse aux incidents de sécurité) travaille en réseau avec ses homologues européens. C'est également le cas à un niveau plus stratégique, où les directeurs de chaque agence nationale partagent des actions et pratiques de cybersécurité via le réseau Cyclone. Le but étant d'être en mesure de coordonner une action commune européenne en cas de grosse cyberattaque. Et cette éventualité est malheureusement à prévoir : « On doit être capable de se coordonner pour une réponse commune au niveau européen, on doit être rodé. J'attends la grande attaque pour voir si cela va marcher, en attendant on a fait des exercices et des simulations, mais ce n'est pas pareil », a promptement répondu et avec la franchise et transparence qu'on lui connait, Guillaume Poupard.

Une certification cyber de systèmes critiques assurée pour et par l'Europe seulement

Le directeur général de l'Anssi a par ailleurs fait état de la nécessité « vitale » d'utiliser la certification afin d'assurer la confiance dans les fournisseurs de services numériques. Et ce, non seulement concernant les produits de cybersécurité en tant que tels, mais également d'autres équipements, services et solutions très importants liés au cloud ainsi qu'à la 5G. « Il faut créer des schémas organisés par l'Enisa pour résoudre les vrais problèmes de sécurité et de confiance », a expliqué Guillaume Poupard. Non sans mettre le doigt là où ça fait mal : « la France plaide pour des offres avec un niveau de sécurité technique le plus élevé possible, mais il y a aussi une question juridique majeure de faire certifier des offres du niveau de sécurité le plus élevé soumises au Cloud ou Patriot Act et d'aller piocher dedans. ce n'est pas de l'anti-américanisme mais il faut assumer le fait que pour les systèmes les plus critiques, seuls les droits européens doivent s'appliquer ».

Estimant que la révision de la directive NIS arrive maintenant à maturité, Guillaume Poupard a fait savoir qu'elle va désormais permettre de traiter plus efficacement la mise en réseau des ressources cyber à l'échelle européenne. A ce titre, l'accroissement des effectifs de l'Enisa - passés en un an de 72 à 118 - est une bonne nouvelle pour atteindre ce but, même si cette dernière assure que son rôle n'est pas de faire de l'ingérence dans la stratégie cyber de chaque pays. « D'un point de vue cyber, les Etats membres ont le lead et les expertises, nous on ajoute de la valeur ajoutée dans certains domaines mais avons des limites quant à notre utilité sur les questions de défense nationale », a prévenu Juhan Lepassaar. « C'est bien de parler souveraineté européenne mais il y a des sujets où la défense reste une souveraineté nationale même si il y a intérêt de coopération à l'échelle internationale », a confirmé Guillaume Poupard.

La bombe à retardement de l'informatique quantique utilisée à des fins cybercriminelles

Pour l'Anssi, les prochains mois vont être décisifs dans la capacité de l'Europe et des Etats membres à enclencher une cybersécurité efficace. « On court après un train qui s'éloigne de plus en plus vite », craint Guillaume Poupard. Et le directeur de l'Anssi d'évoquer les évolutions néfastes de l'informatique quantique en termes de cybersécurité, utilisée à des fins cybercriminelles. Parmi les remparts qui ne doivent pas sauter : le chiffrement qui ne doit en aucun cas être remis en question pour quelque raison que ce soit. « c'est couper un peu trop à travers champ que de dire qu'il faut supprimer le chiffrement pour faciliter les enquêtes. Ce n'est pas efficace, ce qu'il faut, c'est donner des moyens pour qu'elles soient effectuées dans de bonnes conditions ».