Les deux principaux responsables de la sécurité informatique de l'Etat, Louis Gautier, secrétaire général de la défense et de la sécurité nationale et Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information, ont insisté lundi sur les nouvelles menaces qui pèsent sur les entreprises françaises. Pour eux, 99% des cyberattaques concernent des vols de données. Elles sont susceptibles d'avoir un impact dramatique sur les entreprises, leur infrastructure, leur patrimoine informationnel et leur activité commerciale. Mais il y a pire.
Selon Guillaume Poupard, « on voit entrer de plus en plus d'attaquants dans des réseaux informatiques ». Ils ne viennent pas pour voler des informations mais pour infiltrer les entreprises et rester à l'état dormant. C'est ce que l'ANSSI observe depuis plusieurs mois. « Ils prennent pied progressivement (...) et on les retrouve très profond au sein des réseaux d'entreprises, à des endroits où il n'y a même plus d'informations secrètes à voler, par exemple sur les systèmes de production de contrôle qualité », ajoute le DG de l'Agence.
S'infiltrer et faire le mort
Guillaume Poupard a également expliqué qu'il devenait plus facile de s'infiltrer et de faire le mort que d'agir rapidement pour voler des données. « On craint qu'un jour devienne possible, si on ne durcit pas suffisamment les systèmes de sécurité, le déclenchement de sabotages notamment industriels et de prises en mains de systèmes de sécurité », a indiqué Louis Gautier. Guillaume Poupard observe que les terroristes ont les moyens financiers mais pas les compétences techniques pour perpétrer des attentats numériques mais pourraient faire appel, moyennant rétribution, à des mercenaires numériques. « Daech a montré (qu'il) est tout à fait capable d'acheter des ingénieurs informatiques ».
Le deux responsables de la sécurité ont également souligné que l'industrie leur paraissait particulièrement vulnérable à ces menaces dormantes. La banque, l'aérospatiale et l'automobile sont rompues à de bonnes règles de sécurité. Les PME sont évidemment une autre cible assez facile, Guillaume Poupard voit dans le recours au cloud computing une bonne parade.
Louis Gautier et Guillaume Poupard s'exprimait en marge d'une présentation des trois premiers arrêtés pris en matière de sécurité des OIV (Opérateurs d'importance vitale). Ils entreront en vigueur au 1er juillet en imposant des normes de sécurité élevées aux produits de santé, à la gestion de l'eau et à l'alimentation. Les arrêtés suivants, publiés au 2ème semestre, permettront de couvrir la totalité des 12 secteurs reconnus d'importance vitale, ils représentent 249 opérateurs (entreprises privées et publiques ou organismes publics).