Cybersécurité : la coopération internationale est là, mais où sont les propositions du Cigref ?

Europol a annoncé hier la « perturbation » du botnet Emotet. Le message est prudent, mais dans les faits, de sources multiples, il s’agit bien d’un démantèlement en profondeur, qui ne devrait pas manquer d’avoir des efforts de bords importants sur d’autres menaces informatiques, et notamment les ransomwares.

Et justement, au sujet de cette menace incontournable de 2020, le FBI a annoncé, hier également, la saisie du site de NetWalker, celui-là même où les opérateurs de ce rançongiciel étalaient leurs victimes refusant de céder à l’extorsion, mais aussi engageaient les négociations avec les autres. Ce n’est pas tout : les opérateurs du ransomware Egregor se sont retrouvés étrangement bâillonnés, privés de tout moyen de communication avec les organisations qu’ils auraient frappées.

D’un coup, le message que s’évertuait à porter le Cigref – le Club informatique des grandes entreprises françaises – depuis l’automne, notamment par la voix d’Henri d’Agrain son délégué général, apparaît à tout le moins naïf. À l’automne, dans une lettre adressée au Premier ministre, Jean Castex, le Cigref dénonçait précisément « l’insuffisance des réponses de la communauté internationale ».

Certes, il est des pays avec lesquels la coopération judiciaire internationale est difficile, à l’Est comme au Sud, notamment. Il n’est pas question de le nier et Guillaume Poupard, patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), le rappelait lui-même récemment, lors de son allocution d’ouverture de l’édition 2021 du Panocrim du Clusif : difficile d’arrêter les cybercriminels « s’ils n’ont pas le bon goût de venir passer leurs vacances en Europe ».

Mais la chute d’Emotet et de NetWalker montre clairement que la coopération internationale fonctionne. Pas toujours assez bien, ni toujours assez vite. Mais finalement, dans le cas de NetWalker, les choses n’auront finalement pas tant traîné que ça : les opérateurs de ce rançongiciel n’ont commencé à opérer qu’en avril 2020 ; il y a moins d’un an.

À l’heure où nous publions ces lignes, Henri d’Agrain, qui mettait encore en avant, ce 26 janvier, sur Twitter, la prise de position du Cigref de l’automne dernier n’a pas encore réagi à ces annonces. Même chose pour le Cigref lui-même.

Un mois avant sa lettre à Jean Castex, le Cigref célébrait ses 50 ans. À cette occasion, Bernard Duverneuil, son président appelait l’État à la rescousse, tout en prenant soin de ne pas froisser l’Agence nationale pour la sécurité des systèmes d’information : « c’est aussi à l’État de garantir la sécurité. Les entreprises ont besoin d’une agence comme l’Anssi qui fait un travail formidable, d’un cadre juridique renforcé et d’une police avec des moyens adaptés contre cette délinquance mondiale, ou encore d’une diplomatie mobilisée ».

Moins diplomate, Guillaume Poupard n’y est pas allé par quatre chemins pour répondre, à l’occasion d’un passage chez nos confrères de BFM TV : « protégez-vous vous-mêmes ; aidez-vous vous-mêmes ; c’est quand même ça la priorité ». Et de souligner l’importance de ces efforts par ce qu’en retirent ceux qui ont été, hélas, attaqués avec succès : « les acteurs qui ont été attaqués, qui ont réagi et qui durcissent la protection de leurs systèmes sont durablement beaucoup moins attaqués que les autres ».

« Chacun doit se protéger, chacun doit être un bout de la protection cyber. »

Et de réitérer son message, pour ceux qui ne l’auraient pas entendu, en ouverture du Panocrim : « il n’y aura pas de bouclier cyber au dessus de la France, ni autour de l’Europe, ni autour de l’OTAN. Chacun doit se protéger, chacun doit être un bout de la protection cyber ».

De son côté, le Cigref explique être « pleinement engagé pour participer, à son niveau, à l’effort nécessaire et présenter ses propositions de renforcement de la sécurité numérique de la collectivité nationale et de son économie, dans un contexte évidemment européen ». Mais pour l’heure, ces propositions, sur lesquelles Vincent Balouet, lui-même ancien du Cigref, interpellait fin novembre Henri d’Agrain, n’ont toujours pas été dévoilées publiquement.

Las, le Cigref ne semble malheureusement pas se donner une énorme marge de manœuvre pour une approche résolument volontaire. Sa lettre à Jean Castex donnait le ton, présentant la cybersécurité avant tout comme un centre de coût : « des ressources humaines, techniques et financières croissantes sont engagées par les entreprises pour assurer la sécurité de leurs systèmes numériques, au détriment de leur capacité d’innovation et de leur compétitivité ». 

Contacté par téléphone, un porte-parole du Cigref n’a pas souhaité s’exprimer sur les points soulevés dans cet article. Nous restons bien sûr ouverts à toute réponse et tout commentaire officiels que l’association souhaiterait y apporter à l’avenir.