Qu’est-ce que le COMCYBER-MI et quelle est sa mission ?
Comme son nom l’indique, le département de l'anticipation et de la gestion de crise cyber du Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI), créé par décret en novembre 2023 et présent sur le Campus Cyber, est intégré au ministère de l’intérieur. Notre mission est d’élaborer une analyse approfondie des cybermenaces en temps réel avec nos équipes d’analystes intégrées au sein du département. Nous collectons et centralisons des données pour identifier les cybercriminels, analyser leurs modes opératoires, caractériser les cybermenaces et anticiper pour mieux gérer les crises cyber. En revanche, nous n’intervenons pas au niveau judiciaire qui reste la mission des enquêteurs de l’OFAC (Office anti-cybercriminalité), de l’UNC (Unité nationale cyber) et de la BL2C (Brigade de lutte contre la cybercriminalité). Notre rôle est de produire de l’information et de la diffuser, nous travaillons en étroite collaboration avec les organismes comme l’ANSSI ou encore Cybermalveillance. En tant que cheffe de ce département, je gère une équipe de 20 personnes environ dont une majorité d’experts analystes.
Constatez-vous une montée en puissance des attaques avant le lancement officiel des JO 2024 ? Et quel sera votre rôle pendant ces Jeux ?
Oui, nous constatons une augmentation significative des activités cybercriminelles, en écho aux événements sportifs d'ampleur internationale précédents. A ce titre, nous avons étudié avec minutie les cyberattaques recensées sur les JOP depuis 2008 de Beijing. Nous observons une diversification des menaces, incluant les attaques par déni de service (DDoS), les rançongiciels, les escroqueries, les défigurations de sites web et les vols de données, souvent exacerbées par le contexte international, politique et social. Depuis janvier 2024, nous avons par exemple multiplié par 3 nos détections sur les attaques DDoS, les vols de données et les défigurations. Il n’est pas à exclure comme le signifiait Vincent Strubel, le dirigeant de l’ANSSI, que plusieurs hackers soient déjà infiltrés sur certains SI critiques et attendent pour frapper le jour J. N’oublions pas que les cybercriminels vont aussi profiter de l’événement pour recruter. Lors des JO, nous serons présents au Centre national de commandement stratégique (CNCS) au Ministère de l’Intérieur à Beauvau et nous renseignerons le CNCS et l’ANSSI via des tableaux de bords, deux points par jour sont d’ailleurs prévus pour les alimenter voire plus selon les évènements cyber que nous détecterons.
Quels types d’attaques redoutez-vous le plus ?
Les attaques par rançongiciels et les vols/diffusions de données sensibles représentent nos principales préoccupations, en raison de leur potentiel de perturbation significative. Nous sommes également attentifs aux attaques DDoS, aux escroqueries ciblant les spectateurs, aux défigurations de sites officiels et aux risques liés à la supply chain, susceptibles de compromettre à la fois la sécurité et la réputation de l'événement. Les conséquences pourraient être désastreuses, par exemple d’empêcher la transmission des rencontres sportives, de suspendre l’accès du personnel habilité à rentrer en zone sécurisée, de perturber le fonctionnement des transports publics (RATP, centrale de taxis, aéroports...) et des infrastructures des sites (électricité, eau, médical, approvisionnement divers, bannières publicitaires, équipements sportifs, etc.). Nous redoutons aussi le typosquatting qui consiste à enregistrer des domaines avec des noms délibérément mal orthographiés de sites web connus par exemple, c’est la compromission de sites. D’autres cyber escroqueries en ligne sont à craindre comme les faux virements, l’usurpation d’identité et le piratage de compte.
Quelles sont les entreprises potentiellement ciblées à l’approche des JO ?
Des entreprises partenaires des JO, des acteurs économiques, des sociétés stratégiques comme les transports, la logistique…, sont des cibles potentielles. C’est d’autant plus inquiétant que les SI, lors des grands événements, sont interconnectés avec des niveaux de sécurité très hétérogènes suivant les acteurs. Les cybercriminels peuvent profiter de cette large surface d’exposition en menant des attaques par rebond ou supply chain (sous-traitants) en raison de cette porosité entre les nombreuses entreprises privées et les acteurs publics. Les acteurs privés les plus fragiles sont susceptibles d’offrir aux cyberattaquants des opportunités d’attaque indirectes. Dans ce contexte, nous œuvrons à élever le niveau de cybersécurité et de gestion de crises cyber en France. Notre approche inclut un volet important de sensibilisation et de soutien à ces entreprises pour renforcer leur résilience face aux cybermenaces. Pour ce faire, nous nous déplaçons dans les entreprises en leur expliquant comment se préparer, qui contacter… En France, nous avons cette culture du risque mais pas forcément celle de la crise, il faut donc anticiper.