Franck Gicquel et Jean-Jacques Latour - Cybermalveillance.gouv.fr

“ Apporter de la lisibilité dans les services et surtout, former”

La cybersécurité européenne et française se dote de labels pour pallier l’impréparation des sociétés face à d’éventuelles attaques, et la pénurie de compétences en la matière.

Nov 2022

Doit-on se féliciter que l’Europe prenne enfin en compte la sécurisation des objets connectés comme l’une des priorités dans le domaine de la cyber ?

J.-J.L. Oui, nous nous en félicitons pour que Bruxelles établisse une réglementation, sachant que des sanctions sont envisagées : cela fait réfléchir. Il est prévu, à ce titre, que les fournisseurs passent par des laboratoires indépendants pour valider le niveau de sécurité de leur objet. Dès la mise en place de ce label européen, Cybermalveillance.gouv.fr communiquera en conséquence, en liaison avec l’Anssi, organisme habilité à donner des recommandations.

En outre, notre premier support sur la sécurisation de l’IoT date de novembre 2020, où l’on constatait déjà les vulnérabilités, sur les caméras et autre périphériques (imprimantes, etc.) sans oublier les terminaux (PC, tablettes, smartphones) qu’il faut aussi considérer comme des objets connectés. La réglementation européenne ne se limite d’ailleurs pas aux seuls gadgets. D’un autre côté, il faut relativiser sur la fréquence d’attaques liées à ces objets connectés grand public. On garde en mémoire cet exemple du thermomètre piraté dans un casino de Las Vegas, qui a fait le tour du monde… Dans les faits, nous n’avons pas encore vu un hôpital se faire pirater par un objet connecté.

Depuis la publication du dernier rapport d’activité des cybermenaces de Cybermalveillance.gouv.fr au printemps 2022, que constatez-vous ?

J.-J.L. En attendant notre prochain bilan d’ici au début 2023, il est toujours difficile de faire des points de situation intermédiaires. En revanche, nous constatons sur le volet professionnel, une forte activité sur le piratage de comptes que nous ne pouvons pas expliquer pour le moment ; si ce n’est cet attrait des cybercriminels pour les comptes de messagerie qui représentent pour eux une pépite d’informations [substitution de relevé d’identité bancaire, arnaque au président, etc.] Bien évidemment, la fréquence du ransomware – une attaque qui figure en troisième position dans le classement intermédiaire de Cybermalveillance – est toujours significative. Elle représente environ un peu plus de 1 000 demandes sur notre plate-forme depuis le début de l’année 2022, un niveau identique à celui de l’exercice précédent. Enfin, le phishing est en très forte croissance, notamment les arnaques à la réception de colis et au compte personnel de formation.

Et mesurez-vous un impact généré par le conflit russo-ukrainien ?

J.-J.L. L’Armageddon annoncé n’a pas eu lieu. Alors que nous nous attendions à constater des mouvements dans la sphère criminelle, nous avons juste observé, de notre côté, une attaque sous la forme d’une campagne de phishing visant l’appel aux dons de la Croix-Rouge.

Quelles sont les innovations les plus récentes de la plate-forme Cybermalveillance.gouv.fr ?

J.-J.L. Pour rappel, deux projets ont été initiés en 2021 : le lancement du label ExpertCyber et le parcours de sécurisation. Pour le premier, nous avons constaté un niveau inégal de préparation dans les entreprises, face à une cyberattaque éventuelle. Et quand bien même, les sociétés sont conscientes des enjeux, la plupart ne savent pas du tout par quel bout prendre le sujet, et encore moins à qui s’adresser… Ce label a donc été élaboré en partenariat avec plusieurs syndicats ou fédérations [Cinov Numérique, Eben, Numeum, France Assureurs), et distingue des prestataires capables d’opérer un accompagnement de premier niveau, de bout en bout. Un peu plus de 200 d’entre eux sont labelisés¹ contre une trentaine lors de son lancement. Cette certification reste accessible (environ 800 € HT) et est valable deux ans. Quant au parcours de sécurisation, c’est un service de mise en relation entre les professionnels et les prestataires labellisés. D’autre part, nous fêtons le premier anniversaire d’Alerte Cyber qui a recueilli huit alertes émises par les entités professionnelles. L’objectif est d’informer, sur les faits majeurs ou à fort impact, de façon pertinente et non répétitive, les dirigeants des petites entreprises, des collectivités et bientôt des associations.

« Nous ne pouvons que saluer la prise en compte de la sécurisation des objets connectés par la Commission européenne »   

Faut-il créer un label dédié et obligatoire pour ces mêmes décideurs ?

J.-J.L. Il faut surtout travailler sur l’éducation, dès le jeune âge, pour les sensibiliser à la cyber. Nous travaillons dans ce sens avec le ministère de l’Éducation, comme avec les agents des collectivités à travers des formations dédiées. Rien n’est obligatoire mais un certain nombre de ministères réalisent déjà des autoévaluations davantage contraignantes. Notre mission chez Cybermalveillance.gouv.fr consiste toujours à expliquer, par exemple, pourquoi il est crucial de sauvegarder ses données significatives.

Depuis les Assises de la sécurité à Monaco, vous avez lancé un référentiel de formation destiné aux prestataires, pouvez-vous nous en dire plus dans le détail ?

F.G. Depuis plus de deux ans, la quasi totalité des entreprises a accéléré sa numérisation sous l’effet de la pandémie. Si à peine plus d’un tiers des PME disposaient d’une vitrine sur le web [source FranceNum] avant la crise, toutes ont pris conscience de l’urgence à s’imposer sur Internet. Mais cette transformation n’est pas allée de pair avec la mise en oeuvre de moyens en termes de cybersécurité, ni avec l’accompagnement assuré par des prestataires de confiance qualifiés. À cela, nous assistons à une pénurie de compétences cyber, ainsi qu’à un déficit de formation. Ce constat débouche donc sur la création de ce référentiel de cyberexpertise pour les prestataires. À notre connaissance, il n’existe pas de formations vraiment dédiées aux métiers des prestataires sur la sécurisation, la maintenance en conditions opérationnelles et la sécurité ainsi que la remédiation. Cet indice gratuit s’adresse en premier lieu aux organismes de formation, mais il intéressera aussi les universités et les distributeurs IT, par exemple. À partir de cet index, tous pourront construire des formations adaptées.

« Notre référentiel de cyber expertise destiné aux parties prenantes favorise la construction de parcours de formations adaptés, selon un socle commun de connaissances »

Avec qui avez-vous créé ce référentiel, et quand sera-t-il disponible ?

F.G. Cet index de cybercompétences sera mis gratuitement à la disposition du plus grand nombre dès le premier trimestre 2023, afin que chaque organisme de formation s’en inspire pour créer des cursus adaptés, selon un socle commun de savoirs. Le salon IT Partners en mars 2023 sera sûrement l’occasion d’y revenir plus dans le détail. Ce référentiel a été créé au début de l’année 2022, par un groupe constitué de l’Afnor, du campus régional de Cybersecurité, de Confiance numérique Nouvelle-Aquitaine² et du Centre de formation de l’Anssi3, réunis par Cybermalveillance.gouv.fr. Il faut savoir que la Nouvelle-Aquitaine – une des régions les plus avancées dans la cyber – prouve son niveau d’innovation par le création du campus régional cyber à Pessac (Gironde) dont notre dispositif national, Cybermalveillance. gouv.fr, est membre fondateur.

Quels résultats en attendez-vous ?

F.G. Qu’un grand nombre de prestataires soient formés. Notre visibilité sur ses effets sera plus large un an après son lancement. Une chose est sûre : plus aucun prestataire IT ne peut s’affranchir de la cyber. 

BIO EXPRESS

-Jean-Jacques Latour - Cybermalveillance.gouv.fr

Depuis cinq ans, Jean-Jacques Latour est directeur de l’expertise cybersécurité du désormais célèbre dispositif national Cybermalveillance.gouv.fr.

Préalablement, durant une dizaine d’années, il occupe plusieurs postes à responsabilité, dont celui de chef du centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) au sein de l’Anssi (Agence nationale de la sécurité des systèmes d’information). 

BIO EXPRESS

Franck Gicquel - Cybermalveillance.gouv.fr

Franck Gicquel est directeur des partenariats de Cybermalveillance.gouv.fr. Il intègre l’équipe dès la phase de préfiguration du dispositif au sein de l’Anssi en 2016. Il officie alors depuis plus de dix ans dans l’écosystème de la sécurité et des systèmes d’information. Il a notamment été directeur commercial chez DG Consultants, groupe Comexposium.