L’Agence nationale de sécurité des systèmes d’information (Anssi) supervise la sécurité des réseaux de l’Etat et celle des «opérateurs d’importance vitale», les entreprises stratégiques (santé, énergie, industrie…). Elle sensibilise aussi un public plus large, notamment les PME. Entretien avec Guillaume Poupard, patron de l’Anssi.
Quels sont les principaux «cyber-risques» ?
Les risques varient selon les cibles : ils ne seront pas les mêmes pour une structure étatique, une grande entreprise ou un particulier. Pour le grand public, je les classerais en trois catégories. Le premier risque, c’est l’escroquerie : elle a toujours existé, mais elle se renouvelle avec les moyens numériques. On le voit avec le développement des «rançongiciels», ces logiciels malveillants utilisés par des cybercriminels pour chiffrer les données sur votre poste et exiger une rançon. Tant des PME que des hôpitaux ou de simples citoyens en sont victimes. Le second risque, c’est le vol de données personnelles, voire le vol d’identité : il s’agit de voler des informations pour les revendre ou les exploiter, par exemple en se faisant passer pour quelqu’un lors d’un acte délictueux. La victime perd le contrôle de son identité numérique. Enfin, on peut être victime sans savoir pourquoi, victime de conflits qui nous dépassent, y compris entre des Etats. Pour prendre une métaphore, cela revient à recevoir une «balle perdue».
Qui sont aujourd’hui les cybercriminels ?
On a toujours l’image du pirate informatique dans son garage, et on n’est certes jamais à l’abri d’un acte isolé… Mais la cybercriminalité relève de plus en plus de groupes très structurés, qu’on peut qualifier de mafias, qui y voient une opportunité de gains maximaux pour un minimum de risques. L’autre phénomène, c’est le développement d’un marché indirect, avec des «grossistes» qui vendent, par exemple, de la capacité d’attaque par déni de service (par saturation d’un serveur en le surchargeant de connexions) ou des identifiants, comme des listes de mots de passe. Il n’est plus nécessaire aujourd’hui d’avoir de grandes compétences pour être à l’origine d’une attaque informatique. Ainsi, un «grossiste» se chargera de mener une attaque par déni de service sans se soucier de l’identité du commanditaire ou de celle de la victime.
Quels conseils donneriez-vous ?
Le numérique offre énormément d’opportunités, mais il amène aussi de nouveaux risques avec lesquels il va falloir vivre. Il ne faut pas s’en rendre malade, mais simplement rester en alerte, comme lorsqu’on conduit… Nous avons publié avec la CGPME un guide de «bonnes pratiques», assez faciles à transposer au plan personnel, qui constituent des règles d’hygiène élémentaire pour un usage raisonné du numérique : mettre à jour ses logiciels, avoir de bons mots de passe, faire attention aux pièces jointes dans les mails… Il ne s’agit pas de faire peur, mais de dire aux gens de faire attention : il faut développer une «saine paranoïa». Quand il se passe quelque chose d’inhabituel sur un ordinateur ou un smartphone, cela doit être un signal d’alerte.